netweeK ετησια εκδοση 2017<
S P E C I A L E DI T IO N > Leading the Digital Business Revolution!
A Practical Guide to
GDPR
[4] Η Ευρωπαϊκή Ένωση
ταρακουνά το σύμπαν των ψηφιακών δεδομένων
EDITORIAL
[6] Ι στορική στιγμή για
Σε λιγότερο από 7 μήνες, οι ελληνικές επιχειρήσεις ανεξάρτητα μεγέθους θα πρέπει να έχουν συμμορφωθεί με τα “προβλεπόμενα” του General Data Protection Regulation, ο οποίος από όραμα το 2012 γίνεται πλέον πράξη. Η ΕΕ οραματίζεται ένα περιβάλλον διαφάνειας, στο οποίο οι πολίτες θα νιώθουν ασφαλείς όσον αφορά τα προσωπικά τους δεδομένα, γεγονός που θα τονώσει τη χρήση των ψηφιακών υπηρεσιών και κατ’ επέκταση τον ψηφιακό μετασχηματισμό οργανισμών και επιχειρήσεων που δραστηριοποιούνται εντός των συνόρων της Ευρώπης. Όπως σε κάθε μεγάλο όραμα, η υλοποίηση είναι το δυσκολότερο στάδιο, καθώς απαιτεί τη σύμπνοια πολλών μερών με διαφορετικά συμφέροντα. Πρακτικά, τα αποτελέσματα αυτής της αλλαγής θα είναι ορατά μετά την ημερομηνία της υποχρεωτικής εφαρμογής του Κανονισμού. Τα μέχρι στιγμής δεδομένα δείχνουν ότι περισσότερο οι επιχειρήσεις και λιγότερο οι δημόσιοι οργανισμοί έχουν αντιληφθεί ότι τα πράγματα δεν είναι χαλαρά, όπως ήταν με την ντιρεκτίβα που καταργεί ο νέος Κανονισμός και οι ζημίες μιας “κακής” στιγμής μπορεί να είναι σημαντικές, τόσο για το ταμείο όσο και για τη φήμη της εταιρείας ή του οργανισμού. Στην ειδική έκδοση που δημιουργήσαμε, προσπαθήσαμε να συμπεριλάβουμε τις πιο πρόσφατες πληροφορίες σχετικά με την εφαρμογή του Κανονισμού στην Ελλάδα και επιπλέον να παρουσιάσουμε λύσεις που είναι ήδη διαθέσιμες και δίνουν τη δυνατότητα σε επιχειρήσεις και οργανισμούς να είναι προετοιμασμένες για τα “προβλεπόμενα”. Ελπίζουμε να βρείτε χρήσιμη την έκδοση αυτή και να ακούσουμε τις δικές σας απόψεις, εφόσον ολοκληρώσετε την ανάγνωσή της. Γιάννης Μουρατίδης Συντάκτης τεχνολογίας & επιστήμης
την Ευρώπη ο νέος Κανονισμός
[9] Σ ημαντικές οι
υποχρεώσεις των επιχειρήσεων απέναντι στο GDPR
[12] Σ την αρχή προστασίας
όλο το βάρος της ελεγκτικής διαδικασίας
[14] ΕΥ
GDPR: Μια ακόμα δράση συμμόρφωσης ή στρατηγικής σημασίας μετασχηματισμός;
[16] Oracle
Απαραίτητη η ξεκάθαρη στρατηγική ΙΤ ασφαλείας για τη συμμόρφωση με τον GDPR
[18] P riority
GDPR: Xρήσιμες συμβουλές για όσες επιχειρήσεις δεν έχουν ξεκινήσει ακόμα
Εκδοτης-Διευθυντης
Μιχάλης Κ. Μπούσιας Διευθυντhς Business Unit
Νικόλας Κονδάκης
creative dpt
Aλέξανδρος Καρβουτζής, Γεωργία Σαντούση, Ελένη Μακρυκώστα, Νατάσσα Θεοδοσίου, Γιώτα Χειλάκου image bank
Αρχισυντακτης
shutterstock.com
Παναγιώτης Μαρκέτος
Συνδροµες/Κυκλοφορια
eπιμελεια εκδοσης
Aµαλία Ψιλούδη, Δηµήτρης Φαραός
Γιάννης Μουρατίδης
ΥΠΕΥΘΥΝΗ ΣΥΜΜΕΤΟΧΩΝ
Account managers
Θάνος Θώµος, tthomos@boussias.com Λίζα Αντωνιάδη, lantoniadi@boussias.com Υποδοχh Διαφhμισης
Ρούλη Σαμίου (Τηλ.: 210-6617777, εσωτ. 245) CREATIVE ART
you and i art director
Γιώργος Τριχιάς
NETWEEK CONFERENCES & AWARDS Χαρά Κατσαρού Project Manager Unit Financial Services, Technology, Management
Αικατερίνη Κιουλμπαξιώτη Εκτυπωση-Βιβλιοδεσια
Pressious Arvanitidis Επικοινωνια
ΒOUSSIAS ΕΠΙΚΟΙΝΩΝΙΕΣ Ε.Π.Ε. Κλεισθένους 338, Τ.Κ. 153 44, Γέρακας Τ.: 210 661 7777, F: 210 661 7778
Ο Νέος Γενικός Κανονισμός για την Προστασία των Δεδομένων μας αφορά όλους!
[22] S ynταχ
Στρατηγική συμμόρφωσης με το Γενικο Κανονισμό Προστασίας Προσωπικών Δεδομένων
[24] v eritas
Η κανονιστική συμμόρφωση GDPR είναι προ των πυλών, εσείς είσαστε έτοιμοι;
[26] Ευρετήριο - Directory
ΠΕΡΙΕΧΟΜΕΝΑ
[20] S pace Hellas
ε τ ησι α εκ δοση 2017 • netweeK
3
Η Ευρωπαϊκη ενωση ταρακουνα το συμπαν των ψηφιακων δεδομενων Τα ψηφιακά δεδομένα είναι το νέο περιουσιακό στοιχείο για εταιρείες οργανισμούς και γιατί όχι και για τους πολίτες, οι οποίοι συμβάλουν σε μεγάλο ποσοστό στη δημιουργία τους. Ο νέος κανονισμός προστασίας τους έχει στόχο να πετύχει ισορροπημένα οφέλη για όλα τα μέρη.
4
Χ
ρειάστηκαν τέσσερα χρόνια διαβουλεύσεων προκειμένου η Ευρωπαϊκή Ένωση να καταλήξει τον Απρίλιο του 2016 στη δημιουργία του νέου Κανονισμού προστασίας προσωπικών δεδομένων που είναι πλέον περισσότερο γνωστός ως GDPR. Η Viviane Reading, πρώην αντιπρόεδρος της Ευρωπαϊκής Ένωσης, είχε δηλώσει ότι πρόκειται για μια ιστορική στιγμή για την Ευρώπη, καθώς η ανανέωση των όσων είχε θεσπίσει η ντιρεκτίβα που ίσχυε από το 1995, θα έχει ως αποτέλεσμα την αύξηση της εμπιστοσύνης των πολιτών στις ψηφιακές υπηρεσίες, αναζωπυρώνοντας τη φλόγα της ανάπτυξης. Η Viviane Reading ήταν αυτή που είχε προτείνει τις αλλαγές το 2012. Ωστόσο, στο πλαίσιο της παγκοσμιοποιημένης αγοράς, το ερώτημα που μένει να απαντηθεί είναι πως ο νέος Κανονισμός θα ισορροπήσει την απαίτηση των πολιτών για προστασία των προσωπικών δεδομένων με τη διατήρηση του ρυθμού επενδύσεων στην έρευνα και ανάπτυξη νέων ψηφιακών υπηρεσιών. Πολλές ομάδες, μεταξύ των οποίων η Industry Coalition for Data Protection (ICDP), το Interactive Adertising Bureau Europe (IAB) και η Telecommunications Network Operators’ Association (ETNO), είχαν εκφράσει εξαρχής την ανησυχία
netweeK • ε τ ησι α εκ δοση 2017
τους ότι ο νέος απαιτητικότερος Κανονισμός θα μπορούσε να βλάψει τον πυρήνα λειτουργίας των επιχειρήσεων. Μέλη της ICDP, όπως οι Google, Facebook, Amazon και IBM ενδιαφέρονται για τους Ευρωπαίους αγοραστές, αλλά ο νέος Κανονισμός τους βάζει δύσκολα, όχι μόνο όσον αφορά την ασφάλεια των προσωπικών δεδομένων όσο και τη διατήρησή τους. Ενώ οι περισσότερες επιχειρήσεις έχουν εστιάσει στον τομέα της ασφάλειας, λίγες έχουν ασχοληθεί με το θέμα της συγκατάθεσης. Πρακτικά, ο Κανονισμός δίνει τη δυνατότητα στον πολίτη να ζητά από την επιχείρηση τη διακοπή και την εκκίνηση καταγραφής των προσωπικών του δεδομένων με την ίδια ευκολία που ανοίγουμε και κλείνουμε τα φώτα. Μπορεί για παράδειγμα ένας πολίτης να είναι μέλος του loyalty σχήματος σε μια τράπεζα στην αρχή της εβδομάδας και στο μέσο να αποφασίσει ότι δε θέλει πλέον να συμμετέχει. Οι σύμβουλοι επιχειρήσεων ανησυχούν καθώς η ημερομηνία εφαρμογής του Κανονισμού πλησιάζει, θεωρώντας ότι πολλές επιχειρήσεις δεν έχουν αντιληφθεί το μέγεθος των αλλαγών. Οι πολίτες αποκτούν πολλαπλάσιες δυνάμεις σε σχέση με αυτές που τους έδινε η ντιρεκτίβα και μπορούν να τις αξιοποιήσουν αδειάζοντας όχι μόνο τη φήμη
μιας επιχείρησης που δεν έπραξε ορθά, αλλά και το ταμείο της. Τα πρόστιμα που προβλέπει ο Κανονισμός και μπορεί να φτάσουν μέχρι και το 4% του παγκόσμιου τζίρου μιας εταιρείας, είναι πιθανό να επαυξηθούν αρκετά, αν ομάδες πολιτών αποφασίσουν να προχωρήσουν σε συλλογικές αγωγές. Πως άραγε βλέπουν οι εταιρείες που δραστηριοποιούνται έξω από τα σύνορα της Ευρωπαϊκής Ένωσης το νέο Κανονισμό. Μέχρι και τον Ιούνιο του 2017, η Ευρωπαϊκή Ένωση είχε επιβάλει συνολικά 8,5 δισεκατομμύρια ευρώ σε πρόστιμα, επειδή επιχειρήσεις εντός, αλλά κυρίως εκτός των συνόρων της δεν συμμορφώθηκαν με τους κανόνες του ανταγωνισμού. Αν γυρίσουμε πίσω στο 1990, το ύψος των προστίμων ανέρχεται στα 26,7 δισεκατομμύρια ευρώ. Ποιο νέο ασκό του Αιόλου μπορεί να ανοίξει ο νέος Κανονισμός για πρόστιμα; Πως θα αντιμετωπίζονταν για παράδειγμα η περίπτωση της Yahoo, η οποία υπέστη τεράστια κλοπή προσωπικών δεδομένων το 2016; Θα δημιουργήσει ψηφιακά τείχη ο νέος Κανονισμός; Τον περασμένο Μάρτιο, η Ρωσία αρνήθηκε τη λειτουργία της Linkedin, η οποία πλέον ανήκει στη Microsoft, εάν η εταιρεία δεν διατηρούσε τα προσωπικά δεδομένα των πολιτών σε servers εντός της Ρωσικής επικράτειας. Θα μπορούσε η Ευρωπαϊκή Ένωση να ασκήσει ένα ανάλογο βέτο στην περίπτωση που μια εταιρεία δε συμμορφώνονταν επανειλημμένα με τον Κανονισμό; Αναμφίβολα, οι συγκρούσεις μεταξύ των αναπτυγμένων χωρών, λαμβάνουν πλέον χώρα σε ένα πεδίο που δεν έχει καμία ομοιότητα με τα πεδία μαχών του παρελθόντος. Η διαφάνεια που απαιτεί το GDPR εκθέτει μεν τις ευρωπαϊκές επιχειρήσεις, αλλά παράλληλα δημιουργεί αυστηρές προϋποθέσεις και για επιχειρήσεις άλλων χωρών που δραστηριοποιούνται στην Ευρώπη, οι οποίες δύσκολα μπορούν να αγνοήσουν 500 εκατομμύρια αγοραστών με ακριβές ανάγκες.
It’s It’s Time to Meet Your GDPR Challenge It’sTime Timeto toMeet MeetYour YourGDPR GDPRChallenge Challenge It’s Time to Meet Your GDPR Challenge
…But …But time ending, so, trust Algosystems’ and PRIORITY expert team! …Buttime timeisis isending, ending,so, so,trust trustAlgosystems’ Algosystems’and andPRIORITY PRIORITYexpert expertteam! team! …But time is ending, so, trust Algosystems’ and PRIORITY expert team! Algosystems, Algosystems, Algosystems, Algosystems, your your your trusted trusted trusted ICT ICT ICT System System System Integrator Integrator Integrator and and and choice choice choice of of of excellence, excellence, excellence, teams teams teams up up up with with with PRIORITY PRIORITY PRIORITY Algosystems,your yourtrusted trustedICT ICTSystem SystemIntegrator Integratorand andchoice choiceof ofexcellence, excellence,teams teamsup upwith withPRIORITY PRIORITY Algosystems, your trusted ICT System Integrator and choice of excellence, teams up with PRIORITY consultants consultants consultants consultants to to to confidently confidently confidently assist assist assist you you you in in in tackling tackling tackling the the the complicated complicated complicated GDPR GDPR GDPR mandates. mandates. mandates. The The The two two two consultantsto toconfidently confidentlyassist assistyou youin intackling tacklingthe thecomplicated complicatedGDPR GDPRmandates. mandates.The Thetwo two consultants to confidently assist you in tackling the complicated GDPR mandates. The two companies, companies, companies, companies, with with with with their their their their deep deep deep deep expertise expertise expertise expertise in in in in their their their their distinctive distinctive distinctive distinctive business business business business fields, fields, fields, fields, co-operate co-operate co-operate co-operate to to to to offer offer offer offer you you you you companies, with their deep expertise in their distinctive business fields, co-operate to offer you companies, with their deep expertise in their distinctive business fields, co-operate to offer you aaaaaaholistic holistic holistic holistic approach approach approach that that that covers covers covers all all all three three three GDPR GDPR GDPR Dimensions: Dimensions: Dimensions: ICT, ICT, ICT, Legal Legal Legal and and and People People People & & & Processes. Processes. Processes. holisticapproach approachthat thatcovers coversall allthree threeGDPR GDPRDimensions: Dimensions:ICT, ICT,Legal Legaland andPeople People& &Processes. Processes. holistic approach that covers all three GDPR Dimensions: ICT, Legal and People & Processes.
31 31 31 31 years years years of of of experience experience experience 31years yearsof ofexperience experience 31 years of experience in in in in demanding demanding demanding ICT ICT ICT and and and indemanding demandingICT ICTand and in demanding ICT and security security security security projects projects projects in in in securityprojects projectsin in security projects in Greece, Greece, Greece, Greece, Europe Europe Europe and and and the the the Greece,Europe Europeand andthe the Greece, Europe and the Middle Middle Middle Middle East. East. East. Flexible, Flexible, Flexible, MiddleEast. East.Flexible, Flexible, Middle East. Flexible, trustworthy trustworthy trustworthy trustworthy & & &&reliable reliable reliable reliable trustworthy& reliable trustworthy & reliable problem problem problem problem solvers solvers solvers problemsolvers solvers problem solvers
Top Top Top Top International International International TopInternational International Top International Security Security Security Security vendors vendors vendors Securityvendors vendors Security vendors partnerships partnerships partnerships partnerships partnerships partnerships
Strong Strong Strong Strong ICT ICT ICT support support support Teaming Teaming Teaming up up up with with with PRIORITY PRIORITY PRIORITY StrongICT ICTsupport support Teaming Teamingup upwith withPRIORITY PRIORITY Strong ICT support Teaming up with PRIORITY mechanisms mechanisms mechanisms mechanisms Consultants, Consultants, Consultants, Consultants, one one one of of of the the the mechanisms Consultants,one oneof ofthe the mechanisms Consultants, one of the few few few few consultant consultant consultant offices offices offices in in in fewconsultant consultantoffices officesin in few consultant offices in the the the the country country country that that that has has has thecountry countrythat thathas has the country that has already already already already successfully successfully successfully alreadysuccessfully successfully already successfully implemented implemented implemented implemented GDPR GDPR GDPR implementedGDPR GDPR implemented GDPR projects projects projects projects projects projects
No No No No time time time to to to waste, waste, waste, less less less than than than 210 210 210 days days days by by by May May May 25th, 25th, 25th, 2017. 2017. 2017. Notime timeto towaste, waste,less lessthan than210 210days daysby byMay May25th, 25th,2017. 2017. No time to waste, less than 210 days by May 25th, 2017. Take Take Take Take the the the the next next next step step step and and and contact contact contact our our our team team team of of of GDPR GDPR GDPR experts! experts! experts! thenext nextstep stepand andcontact contactour ourteam teamof ofGDPR GDPRexperts! experts! Take TTake Ta ke the next step and contact our team of GDPR experts!
Algosystems Algosystems Algosystems Algosystems SA SA SA 206 206 206 Sygrou Sygrou Sygrou Ave., Ave., Ave., Athens, Athens, Athens, Greece Greece Greece 176 176 176 72 72 72 AlgosystemsSA SA//////206 206Sygrou SygrouAve., Ave.,Athens, Athens,Greece Greece176 17672 72 Algosystems SA 206 Sygrou Ave., Athens, Greece 176 72 Tel Tel Tel Tel + + + + 30 30 30 30 (210) (210) (210) (210) 9548000 9548000 9548000 9548000 / / / / Fax: Fax: Fax: Fax: +30 +30 +30 +30 (210) (210) (210) (210) 9548099 9548099 9548099 9548099 / / / / sales@algosystems.gr sales@algosystems.gr sales@algosystems.gr sales@algosystems.gr Tel + 30 (210) 9548000 / Fax: +30 (210) 9548099 / sales@algosystems.gr Tel + 30 (210) 9548000 / Fax: +30 (210) 9548099 / sales@algosystems.gr www.algosystems.gr www.algosystems.gr www.algosystems.gr www.algosystems.gr www.algosystems.gr www.algosystems.gr
FOLLOW FOLLOW FOLLOW US US FOLLOWUS US FOLLOW US
Ιστορικh στιγμη για την Ευρωπη ο νεος Κανονισμος Τα δεδομένα είναι ο νέος πλούτος και η διαφύλαξη του αποτελεί προτεραιότητα κυβερνώντων και πολιτών. Θα μπορέσει η ΕΕ να βρει μια χρυσή τομή ανάμεσα σε ασφάλεια και ανοιχτά δεδομένα; Συνέντευξη Christian Wigand, Εκπρόσωπος της ΕΕ, Rule of Law, Charter of Fundamental rights
6
Ο νέος Κανονισμός θα αλλάξει αρκετά το πλαίσιο της προηγούμενης οδηγίας. Πρόκειται για μια κίνηση που ξεκάθαρα αποτυπώνει το πέρασμα από την κατάσταση “καλό θα ήταν” στην κατάσταση “πρέπει να το κάνετε”. Ποιοι είναι οι λόγοι που οδήγησαν σε αυτήν την αναγκαιότητα; Η απόφαση είχε ισορροπημένη υποστήριξη της επιχειρηματικής και πολιτικής κοινότητας; Η οδηγία Data Protection που η Ευρωπαϊκή Ένωση θέσπισε το 1995, έθεσε ένα ορόσημο στην ιστορία της προστασίας δεδομένων. Οι βασικές της αρχές εξασφάλιζαν μια λειτουργική εσωτερική αγορά και μια αποτελεσματική προστασία των βασικών δικαιωμάτων των πολιτών σχετι-
netweeK • ε τ ησι α εκ δοση 2017
κά με την προστασία των δεδομένων τους. Η οδηγία παραμένει σήμερα τόσο σύγχρονη όσο ήταν και πριν από 17 χρόνια. Ωστόσο, οι διαφορές στον τρόπο με τον οποίο κάθε χώρα της Ευρωπαϊκής Ένωσης υλοποίησε την οδηγία, οδήγησε σε ένα μωσαϊκό επιπέδων προστασίας των προσωπικών δεδομένων, ανάλογα με τη χώρα που ο κάθε πολίτης ζει ή αγοράζει προϊόντα και υπηρεσίες. Επιπλέον, οι κανόνες χρειάζονται έναν εκσυγχρονισμό, καθώς όταν πρωτοσχεδιάστηκαν το Internet ήταν ακόμα στα βρεφικά του στάδια. Οι ταχύτατες τεχνολογικές εξελίξεις και η παγκοσμιοποίηση έχουν δημιουργήσει νέες προκλήσεις για την προστασία δεδομένων. Τα κοινωνικά δίκτυα, το cloud computing, οι υπηρεσίες location based και το Internet of Things, δημιουργούν ψηφιακά ίχνη σε κάθε κίνηση του χρήστη. Σε αυτόν τον κόσμο
των Big Data, χρειαζόμαστε ένα νέο στιβαρό σύνολο κανόνων. Η μεταρρύθμιση στο χώρο της προστασίας των προσωπικών δεδομένων δημιουργεί ένα ανθεκτικό μηχανισμό για την ψηφιακή εποχή του μέλλοντος. Οι πολίτες μπορούν να αισθάνονται βέβαιοι ότι μπορούν να είναι online και να αξιοποιούν τα πλεονεκτήματα των νέων τεχνολογιών, ανεξάρτητα της χώρας που προέρχονται, εάν κάνουν τις αγορές τους σε κάποιο ηλεκτρονικό κατάστημα ή μοιράζονται πληροφορίες με φίλους σε όλον τον κόσμο. Αυτή η επαυξημένη εμπιστοσύνη θα βοηθήσει τις επιχειρήσεις να αναπτυχθούν και να εξυπηρετήσουν τους πελάτες τους σε όλη την Ευρώπη με ένα τυποποιημένο σύστημα προστασίας και άρα με χαμηλότερο για αυτούς κόστος. Προσδοκούμε ότι οι αλλαγές θα δώσουν νέα ώθηση στην εσωτερική αγορά και θα ωθήσουν την ανάπτυξη και την καινοτομία.
Η διαφάνεια που δημιουργεί η Οδηγία φαίνεται να συμπορεύεται με ένα ευρύτερο ευρωπαϊκό όραμα, στο οποίο θα μπορούσαμε να δώσουμε τον τίτλο “openness”. Πρόκειται για μια πολιτική διαφοροποίηση της Ευρωπαϊκής Ένωσης, η οποία από τη μια πλευρά φαίνεται να αποδέχεται χωρίς φόβο τη διαφάνεια και την ελεύθερη διακίνηση δεδομένων, από την άλλη αντιμετωπίζει μια μετακίνηση πληθυσμών με πολιτισμικές διαφορές. Πως μπορούν να ταιριάξουν αυτά τα δύο; Οι πρωτοβουλίες για ανοιχτά δεδομένα και οι προσπάθειες για περισσότερη διαφάνεια, αναγκαστικά συμπορεύονται με τον σεβασμό στην προστασία των προσωπικών δεδομένων.
να υιοθετήσουν τις διαδικασίες και την τεχνολογία που θα τους επιτρέψει να συμμορφωθούν; Θα υπάρξει υποστήριξη των επιχειρήσεων που αποδεδειγμένα θα αντιμετωπίσουν δυσκολίες; To Recital 13 του GDPR προτρέπει τους θεσμούς και τους φορείς, τα κράτη μέλη και τις εποπτικές αρχές τους, να λάβουν υπόψιν τις ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων όσον αφορά την εφαρμογή του Κανονισμού. Επιπρόσθετα, ο Κανονισμός εξαιρεί τις SMEs από τη διατήρηση αρχείων κάποιων δράσεών τους, υπό συγκεκριμένες συνθήκες. Η προσέγγιση που ακολουθεί η GDPR που βασίζεται στο ρίσκο, είναι ιδιαίτερα σχετική για τις SMEs, καθώς μικρομεσαίες επιχειρήσεις με δράσεις και λειτουργίες χαμηλού ρίσκου μπορούν να προσαρμόσουν τις απαιτήσεις συμμόρφωσης στο παραπάνω πλαίσιο.
αναθέσουν σε κάποιον εργαζόμενο ή σε τρίτο το ρόλο του Data Protection Officer. Θεωρείτε ότι υπάρχει επαρκής αριθμός εκπαιδευμένων εργαζομένων που μπορούν να αναλάβουν αυτό το ρόλο; Υπάρχουν κάποια προγράμματα που έχουν σχεδιαστεί για να υποστηρίξουν αυτήν την ανάγκη; Όπως υπογραμμίζεται στις οδηγίες που υιοθετούνται στο Άρθρο 29 περί των DPOs, η λειτουργία του DPO απαιτεί συγκεκριμένες γνώσεις και δεξιότητες, και πιο συγκεκριμένα στην περιοχή της Πληροφορικής και του Νόμου περί Προστασίας Δεδομένων. Η οδηγία GDPR προσφέρει την επιλογή στις επιχειρήσεις να αναθέσουν τη θέση του DPO ανάμεσα εσωτερικά σε υπαλλήλους ή να την αναθέσουν σε εξωτερικό συνεργάτη (πχ. σε μια δικηγορική εταιρεία). Επιπρόσθετα, η Ευρωπαϊκή Επιτροπή συγχρηματο-
To Recital 13 του GDPR προτρέπει τους θεσμούς και τους φορείς, τα κράτη μέλη και τις εποπτικές αρχές τους, να λάβουν υπόψιν τις ανάγκες των πολύ μικρών, των μικρών και των μεσαίων επιχειρήσεων όσον αφορά την εφαρμογή του Κανονισμού Οποτεδήποτε τα προσωπικά δεδομένα τίθενται υπό αμφισβήτηση, η ανταλλαγή τους με τρίτα μέρη ή η αποκάλυψή τους στο ευρύ κοινό μπορεί να λάβει χώρα μόνο εφόσον η διαδικασία είναι συμβατή με τον ευρωπαϊκό νόμο περί προστασίας δεδομένων. Δεδομένου ότι η εφαρμογή του GDPR αφορά όλες τις επιχειρήσεις, τους οργανισμούς και τις δημόσιες υπηρεσίες, θεωρείτε ότι οι μικρές και μεσαίες σε μέγεθος επιχειρήσεις θα έχουν τη δυνατότητα
Η Ευρωπαϊκή Ένωση δημοσίευσε στις αρχές της χρονιάς, ένα infographic, το οποίο στοχεύει ειδικά σε SMEs και περιλαμβάνει μια σειρά από factsheets, που εξηγούν με εύπεπτο τρόπο τα οφέλη για τις επιχειρήσεις και τους πολίτες. Θα δημιουργήσουμε επίσης μια εργαλειοθήκη για να βοηθήσουμε τους stakeholders να προετοιμάσουν τις απαιτήσεις για την εφαρμογή της Οδηγίας. Τέλος, η Ευρωπαϊκή Ένωση έχει σχεδιάσει μια σειρά από events και συναντήσεις, προκειμένου οι εκπρόσωποι των μικρομεσαίων επιχειρήσεων να ασχοληθούν ενεργά. O Κανονισμός προτείνει στις επιχειρήσεις να
δοτεί την εκπαίδευση των εποπτικών αρχών προστασίας δεδομένων, άλλων δημόσιων Αρχών και τους Data Protection Officers μέσω χρηματοδοτικών πράξεων. Με ποιο τρόπο θα εξασφαλιστεί η εφαρμογή του Κανονισμού σε κάθε χώρα; Όσον αφορά την Ελλάδα, θεωρείτε ότι η Αρχή Προστασίας Προσωπικών Δεδομένων έχει τους απαραίτητους πόρους και την υποδομή ή θα χρειαστεί να δημιουργηθεί ένας νέος φορέας;
ε τ ησι α εκ δοση 2017 • netweeK
7
8
Η αρχή των ανεξάρτητων εποπτικών αρχών για τη συμμόρφωση με το νόμο περί προστασίας δεδομένων είναι ένα θεμελιώδες συστατικό της προστασίας των φυσικών προσώπων σχετικά με την επεξεργασία των προσωπικών τους δεδομένων. Η υποχρέωση των κρατών μελών να θεσπίσουν μια Αρχή Προστασίας Προσωπικών Δεδομένων προέρχεται από το Χάρτη των Θεμελιωδών Δικαιωμάτων της Ε.Ε. και την Οδηγία περί Προστασίας Δεδομένων του 1995. Ως αποτέλεσμα, κάθε κράτος μέλος έχει εγκαθιδρύσει μια ή πολλές ανεξάρτητες Αρχές Προστασίας Δεδομένων ώστε να ελέγχει τη συμμόρφωση με τον νόμο. Ο GDPR ενισχύει το ρόλο των Αρχών αυτών έτσι ώστε να μπορούν να εφαρμόζουν καλύτερα τους ευρωπαϊκούς νόμους σε εθνικό επίπεδο. Η Οδηγία θα εξασφαλίσει επίσης την καλύτερη συνεργασία μεταξύ των Αρχών σε περιπτώσεις που έχουν ευρύτερο ευρωπαϊκό χαρακτήρα. Είναι ευθύνη των κρατών μελών να εξασφαλίσουν ότι οι εθνικές Αρχές προστασίας δεδομένων διαθέτουν τους κατάλληλους χρηματοοικονομική και ανθρώπινους πόρους καθώς και την υποδομή ώστε να επιτύχουν τους στόχους τους. Η Επίτροπος Jourova έχει επισημάνει στους ομολόγους της στα κράτη μέλη την ανάγκη ώστε να έχουν οι Αρχές προστασίας δεδομένων τους κατάλληλους πόρους για να εκπληρώσουν τους στόχους τους με επιτυχία. Επίσης, η Επιτροπή δημοσιοποιεί μια διαδικασία εκδήλωσης
netweeK • ε τ ησι α εκ δοση 2017
ενδιαφέροντος που στοχεύει στο να υποστηρίξει οικονομικά τις Αρχές προκειμένου αυτές να διασώσουν το μήνυμα σε πολίτες και επιχειρήσεις. Όλες οι επιχειρήσεις (ευρωπαϊκές και μη ευρωπαϊκές) που κατέχουν δεδομένα ευρωπαίων πολιτών πρέπει να συμμορφώνονται με την GDPR. Αναμένετε να δείτε μια νέα αγορά που να προσφέρει συμβουλευτικές υπηρεσίες για τη συμμόρφωση; Γνωρίζουμε ότι στην περιοχή αυτή παίζουν πολλοί: δικηγορικές εταιρείες, σύμβουλοι, ελεγκτικές εταιρείες, εταιρείες που είτε προσφέρουν υπηρεσίες για τη θέση του DPO είτε εργαλεία για συμμόρφωση (πχ. accountability compliance, DPIA performance, κοκ). Αυτή τη στιγμή προετοιμάζουμε μέσω του Άρθρου 29 μια διαδικασία καθοδήγησης – στην οποία συμμετέχουν όλες οι Αρχές προστασίας δεδομένων της Ευρώπης – ώστε να βοηθήσουμε τις επιχειρήσεις να συμμορφωθούν με συγκεκριμένες υποχρεώσεις του GDPR (πχ. έχουν υιοθετηθεί οδηγίες για τον ρόλο του DPO, τη μεταφορά δεδομένων, τις αξιολογήσεις για την επίδραση της προστασίας δεδομένων). Ο GDPR επίσης ενθαρρύνει την ανάπτυξη κωδικών συμπεριφοράς και μηχανισμών πιστοποίησης σε εθνικό και ευρωπαϊκό επίπεδο, τα οποία είναι χρήσιμα εργαλεία που βοηθούν
τις επιχειρήσεις να εξασφαλίσουν τη συμμόρφωσή τους. Είναι ευρέως αποδεκτό ότι οι νέες πολιτικές και τεχνολογίες, η κατάλληλη εκπαίδευση των ανθρώπινων πόρων και η εφαρμογή του DPO θα δημιουργήσουν ένα πιο ασφαλές περιβάλλον για τις επιχειρήσεις. Παρόλα αυτά, το ρίσκο παραμένει. Αναμένετε κάποια εξέλιξη στον τομέα της κυβερνοασφάλειας και στην Ευρώπη όπως και στις ΗΠΑ; O GDPR περιλαμβάνει μια ολοκληρωμένη πτυχή υπευθυνοτήτων για τους επόπτες και τους επεξεργαστές. Επιβάλλει υποχρεώσεις που φτάνουν μέχρι σε τόσο λεπτομερές επίπεδο όσο αυτό της επεξεργασίας (πχ. η ανάθεση ευθύνης σε έναν DPO, ο κώδικας συμπεριφοράς μιας άσκησης αξιολόγησης προστασίας δεδομένων). Επίσης εγκαθιδρύει με σαφήνεια τις συγκεκριμένες υπευθυνότητες των εποπτών και των επεξεργαστών. Τέλος, απαιτεί από τους λειτουργούς που επεξεργάζονται τα προσωπικά δεδομένα, να έχουν διασφαλίσει τις κατάλληλες μετρήσεις ασφαλείας για τα ρίσκα που έχουν προκύψει από την επεξεργασία. Υπ’ αυτό το πρίσμα, εμπλέκονται κι άλλοι παράγοντες όπως τα κόστη υλοποίησης και η φύση, ο σκοπός, το περιβάλλον και ο στόχος της επεξεργασίας.
Σημαντικες οι υποχρεωσεις των επιχειρησεων απεναντι στο GDPR Μια προσεκτική μελέτη στη νέα νομοθεσία αποκαλύπτει ότι υπάρχουν υποχρεώσεις υποχρεώσεις που θα χρειαστούν αρκετά σημαντικές αλλαγές στις διαδικασίες και τις τεχνολογικές υποδομές των επιχειρήσεων. Συνέντευξη Λίλιαν Μήτρου, αν. καθ. στο πανεπιστήμιο Αιγαίου, δικηγόρος και πρόεδρος της νομοπαρασκευαστικής επιτροπής για την εφαρμογή του GDPR στην Ελλάδα
Ο
Γενικός Κανονισμός Προστασίας Δεδομένων νομοθεσία εισάγει αρκετές νέες υποχρεώσεις για τις επιχειρήσεις που συλλέγουν και επεξεργάζονται προσωπικά δεδομένα που καλούνται να συμμορφωθούν, επιφέροντας σημαντικές αλλαγές στις σχετικές διαδικασίες αλλά και στις τεχνικές υποδομές και εφαρμογές τους Η Λίλιαν Μήτρου, έχει εμπλακεί με το νέο Κανονισμό από τα στάδια του σχεδιασμού του, καθώς ήταν επικεφαλής της ελληνικής αντιπροσωπείας στην επιτροπή εμπειρογνωμόνων στην ΕΕ Από τη συζήτηση που είχαμε μαζί της, ανακαλύψαμε νέες πτυχές της νομοθεσίας που θα εφαρμοστεί από την 25η Μαίου 2018, οι οποίες δεν είναι ακόμα ή πάντα ορατές στο μεγαλύτερο ποσοστό του επιχειρηματικού κόσμου.
Ο νόμος 2472/97 ισχύει από το 1997. Εύλογα συμπεραίνει κανείς ότι η πιο ουσιαστική διαφορά του πριν με το μετά, η «κινητήριος δύναμη» αυτού του ενδιαφέροντος είναι το ύψος των προστίμων που προβλέπονται σε περίπτωση παράβασης. Γιατί επίσης στο παρελθόν υπήρχαν πρόστιμα αλλά δεν ήταν τόσο υψηλά.. Το φαινόμενο δεν είναι ελληνικό, καθώς ανάλογη κινητικότητα παρατηρούμε πολλές χώρες της ΕΕ, όπως η Γερμανία για παράδειγμα, όπου το ενδιαφέρον των εταιρειών για τις αλλαγές που φέρνει ο Κανονισμός είναι πρωτοφανές. Το γεγονός γίνεται περισσότερο αξιοπρόσεκτο, αν συνυπολογίσουμε ότι στη Γερμανία, ο ρόλος του Data Protection Officer είναι θεσπισμένος από το 1977. Πιστεύω επίσης ότι εκτός από το ύψος των προστίμων ενδεχομένως υπάρχει και ένας ακόμα σημαντικός λόγος
ναι πιθανό οι επιχειρήσεις να αντιμετωπίσουν και αγωγές με σημαντικές απαιτήσεις όχι μόνο από μεμονωμένα πρόσωπα αλλά και από διάφορες οργανώσεις. Ποιες είναι οι βασικές διαφορές ανάμεσα στην υπάρχουσα και την ερχόμενη νομοθεσία; Ο Κανονισμός είναι μια μετεξέλιξη της ευρωπαϊκής νομοθεσίας, της Οδηγίας του 1995 και αντίστοιχα της νομοθεσίας που ισχύει στην Ελλάδα από το 1997 με τον νόμο 2472/97. Εισάγει ωστόσο αρκετές νέες απαιτήσεις που αφορούν τις τεχνολογικές υποδομές, οι οποίες δεν προκύπτουν πάντα άμεσα από τον Κανονισμό, αλλά από τις αλλαγές που χρειάζεται να γίνουν σε διαδικασίες, ώστε οι επιχειρήσεις να συμμορφωθούν με τις νέες ρυθμίσεις. Πρακτικά, ο κανονισμός μεταθέτει
Πρακτικά, ο κανονισμός μεταθέτει με ουσιαστικό τρόπο την ευθύνη της συμμόρφωσης εσωτερικά. Οπότε έχουμε μια μείωση της γραφειοκρατίας, αλλά παράλληλα μια αύξηση των ευθυνών. Γιατί η νέα νομοθεσία έχει προκαλέσει τόσο έντονη κινητικότητα; Πρέπει να παρατηρήσουμε ότι πολλοί ενεργούν σαν να μην υπήρχε έως τώρα προστασία δεδομένων, παρά το γεγονός ότι έχουμε νομοθεσία με παρελθόν 20 ετών.
που έχει ευαισθητοποιήσει τις επιχειρήσεις. Ο Κανονισμός δίνει τη δυνατότητα σε μια οργάνωση να αξιοποιεί τον κανονισμό για να προασπίζεται τα δικαιώματα ενός προσώπου, όπως κάνουν για παράδειγμα οι ενώσεις καταναλωτών. Επομένως, πλανάται ένας φόβος ότι, εκτός από τα πρόστιμα, εί-
με ουσιαστικό τρόπο την ευθύνη της συμμόρφωσης εσωτερικά. Η επιχείρηση δεν υποχρεούται πλέον να γνωστοποιήσει στην Αρχή Προστασίας Προσωπικών Δεδομένων τις επεξεργασίες της ή να αιτηθεί άδεια αν πρόκειται για ευαίσθητα. Ωστόσο αν τελικά η επεξεργασία, οι επιλογές που
ε τ ησι α εκ δοση 2017 • netweeK
9
10
κάνει ως προς τα δεδομένα που επεξεργάζεται δεν συνάδουν με τις απαιτήσεις του νόμου είναι – προφανώςυπεύθυνη. Οπότε έχουμε μια μείωση της γραφειοκρατίας, αλλά παράλληλα μια αύξηση των ευθυνών. Για παράδειγμα μέχρι τώρα για να πάρει κάποιος δεδομένα υγείας τρίτου από ένα νοσοκομείο για να τα χρησιμοποιήσει στο πλαίσιο μίας δικαστικής διαφοράς (π.χ επιμέλεια παιδιού), η διοίκηση του νοσοκομείου απευθύνονταν στην Αρχή Προστασίας Δεδομένων, έπαιρνε τη σχετική άδεια και έδινε τα δεδομένα στον αιτούμενο. Τώρα, η διοίκηση του νοσοκομείου θα πρέπει να πάρει την απόφαση μόνη της. αν και δεν έχει ληφθεί εν προκειμένω η τελική απόφαση, καθώς ο Κανονισμός επιτρέπει να υπάρξουν σε εθνικό επίπεδο κάποιες εγγυήσεις Αυτό σημαίνει ότι, η επιχείρηση θα πρέπει να ελέγξει τα αρχεία και τις επεξεργασίες προσωπικών δεδομένων, να τροποποιήσει ή να θεσπίσει διαδικασίες που να συμμορφώνονται με τη νέα νομοθεσία , να οργανώσει την διαχείριση των αιτημάτων αλλά και την άσκηση νέων δικαιωμάτων από τα πρόσωπα. . Αντίστοιχα πρέπει να ελέγξει τα πληροφοριακά συστήματα, τις εφαρμογές, τις βάσεις του ώστε να επιβεβαιώσει ότι υποστηρίζουν τη συμμόρφωση. Το εγχείρημα αυτό αναμένεται να είναι ακόμα δυσκολότερο για τις δημόσιες υπηρεσίες, οι οποίες διαχειρίζονται ένα σημαντικό ποσοστό προσωπικών δεδομένων. Είναι σημαντικό να αντιληφθούν και αυτοί, όπως όλοι
netweeK • ε τ ησι α εκ δοση 2017
τη σημασία αυτού του νομοθετήματος αλλά και των επιπτώσεων της μη συμμόρφωση. Να θυμηθούμε ότι το μεγαλύτερο πρόστιμο που έχει επιβάλει η Αρχή Προστασίας Δεδομένων επιβλήθηκε σε δημόσια υπηρεσία. Είναι ξεκάθαρες οι δράσεις που θα χρειαστεί να κάνει μια επιχείρηση για να συμμορφωθεί; Δεν μπορούμε να πούμε ότι όλα τα μέτρα που πρέπει να λάβει μια επιχείρηση είναι σε αυτήν τη φάση σαφή. Οπότε πρακτικά, η επιχείρηση θα πρέπει να καταβάλει κάθε προσοχή και πρόνοια ώστε να εντοπίσει τα σημεία στα οποία πρέπει να παρέμβει ώστε να προσαρμοστεί στις νέες απαιτήσεις. Για παράδειγμα ο ορισμός ενός εσωτερικού υπευθύνου επεξεργασίας, του λεγόμενου DPO δεν είναι υποχρεωτικός σε όλες τις επιχειρήσεις. Ωστόσο η παρουσία του είτε μέσα στην εταιρεία ή είτε ως εξωτερικός συνεργάτης ως outsourcing αποτελεί μία ισχυρή ένδειξη ότι η επιχείρηση έκανε το καλύτερο δυνατό για να επεξεργαστεί και να προστατεύσει τα προσωπικά δεδομένα με νόμιμο και επαρκή τρόπο.. Ένα θέμα το οποίο πρέπει να τύχει ιδιαίτερης προσοχής, είναι η συγκατάθεση, η δήλωση δηλ. με την οποία συμφωνεί κάποιος να αποτελέσουν τα δεδομένα του αντικείμενο επεξεργασίας. Σκεφτείτε το πιο «καθημερινό» παράδειγμα, κάποιος κάνει τις αγορές του σε ένα σουπερμάρκετ και χρησιμοποιεί μια κάρτα πιστότητας, έχει δώσει τη συγκατάθεσή του, τα
δεδομένα να είναι αξιοποιήσιμα από την εταιρεία, η οποία εξάγει συμπεράσματα για το αγοραστικό του προφίλ. Η νέα νομοθεσία είναι αρκετά πιο αυστηρή όσον αφοράν το θέμα της συγκατάθεσης και επιπλέον επιβάλλει να έχει ο καθένας τη δυνατότητα να ανακαλεί τη συγκατάθεση με την ίδια ευκολία με την οποία την έδωσε. Αυτό σημαίνει ότι θα πρέπει οι διαδικασίες του opt in και opt out να είναι εξίσου απλές και εύχρηστες. Οπότε και σε αυτήν την περίπτωση χρειάζεται ένας νέος σχεδιασμός των τεχνολογικών υποδομών. Τέλος, θα μπορούσαμε να αναφέρουμε ως σημαντική αλλαγή την υποχρέωση για εκτίμηση των επιπτώσεων της τήρησης και επεξεργασίας προσωπικών δεδομένων. Αφού αξιολογηθούν οι επιπτώσεις, οι κίνδυνοι που αντιμετωπίζει η επιχείρηση θα πρέπει να ελεγχθεί εάν είναι νόμιμο, ορθό να εξακολουθεί να τηρεί όσα δεδομένα έχει συλλέξει. Το το κόστος κτήσης και συντήρησης υποδομών επιτρέπει πλέον στις επιχειρήσεις να διατηρούν μεγάλες ποσότητες δεδομένων για μακρά διαστήματα, και φαίνεται να συμφέρει πιο πολύ να εξακολουθούν να τα τηρούν από το να ασχοληθούν αν θα τα διαγράψει. Θα πρέπει όμως να συνεκτιμήσου να εκτιμήσουν το ρίσκο που έχουν. Χρειάζεται για παράδειγμα μια εταιρεία να αποθηκεύει νούμερα πιστωτικών καρτών σε δικούς της servers ή είναι προτιμότερο να μεταφέρει την ευθύνη αυτή σε κάποιον τρίτο.
Εναλλακτικά: θα επιβληθούν τελικά τόσο υψηλά πρόστιμα; Ο Κανονισμός προβλέπει και κριτήρια ως προς το ύψος των προστίμων. Ορίζει τα ανώτατα όρια και μέσα σε αυτό το πλαίσιο μπορεί να κινηθεί η εποπτική αρχή. Και βέβαια, μία επιχείρηση μπορεί να αμφισβητήσει ένα πρόστιμο, ζητώντας την ακύρωση της απόφασης της Αρχής Προστασίας Προσωπικών Δεδομένων. Σε τι κατάσταση βρισκόμαστε όσον αφορά την προετοιμασία; Υπάρχουν δύο πλευρές που προετοιμάζονται για τη νέα νομοθεσία, από τη μια το κράτος από την άλλη οι επιχειρήσεις. Από την πλευρά του κρατικού τομέα, η νομοπαρασκευαστική επιτροπή θα δώσει μέχρι τα μέσα Νοεμβρίου το προσχέδιο νόμου, το οποίο θα δοθεί σε δημόσια διαβούλευση και εκτιμούμε ότι θα ψηφιστεί μέσα στο Φεβρουάριο. Ωστόσο, θα ήθελα να αναφέρω ότι στην προσπάθεια που κάναμε ως νομοπαρασκευαστική επιτροπή για μια συνεργατική εκπόνηση κανόνων, οι επιχειρηματικές ενώσεις και οι δημόσιοι φορείς δεν έδειξαν το
εταιρείες πιστοποίησης. Ποιος θα πιστοποιεί τους πιστοποιητές; Το θέμα της πιστοποίησης μας έχει απασχολήσει αρκετά και δεν έχουμε καταλήξει αν πρέπει να το κάνει η Αρχή Προστασίας Δεδομένων ή κάποια άλλη υπηρεσία, στο πλαίσιο του Εθνικού Συστήματος Πιστοποίησης Για την Αρχή είναι πιο δύσκολο να αναλάβει αυτό το ρόλο γιατί μπορεί να εγείρει ζητήματα σε σχέση με τον ελεγκτικό της ρόλο και επιπλέον γιατί θα σημαίνει μεγάλο φόρτο εργασίας σε σχέση με το προσωπικό που απασχολεί τώρα. Όσον αφορά τους εσωτερικούς υπεύθυνους προστασίας, τους DPΟ, σε καμία χώρα δεν προβλέπεται πιστοποίηση για DPO και ούτε ο Κανονισμός απαιτεί κάτι τέτοιο. Επομένως, ο καθένας μπορεί να ορίσει οποιονδήποτε από το προσωπικό του έχει τα επαγγελματικά προσόντα και την «εμπειρογνωσία» όπως προβλέπει ο Κανονισμός. Αν φυσικά έχει μια σχετική εκπαίδευση αυτό θα κάνει το ρόλο του πιο ουσιαστικό. Επίσης ο DPO θα μπορούσε να είναι μια ανεξάρτητη εταιρεία που αναλαμβάνει αυτό το ρόλο με τη μορφή του outsourcing. Αυτό μπορεί να έχει θετι-
πρέπει να φορτωθούν με τόσες υποχρεώσεις οι επιχειρήσεις. Τελικά, η Ευρώπη αποφάσισε να κάνει περισσότερο αυστηρό το πλαίσιο λειτουργίας των επιχειρήσεων και όχι μόνο για τις ευρωπαϊκές επιχειρήσεις καθώς το πεδίο εφαρμογής είναι τέτοιο που καταλαμβάνει καθέναν που προσφέρει με ψηφιακό τρόπο προϊόντα ή υπηρεσίες σε πολίτες που ζουν στην ΕΕ ή παρακολουθεί τη διαδικτυακή συμπεριφορά τους, άρα και επιχειρήσεις ηλεκτρονικού εμπορίου εγκατεστημένες εκτός ΕΕ αλλά και κολοσσούς όπως η Facebook ή η Google. Η αλήθεια είναι ότι ενώ στην Ευρώπη και τις ΗΠΑ υπάρχει νομοθεσία όσον αφορά την προστασία δεδομένων, η οποία αναγκάζει τις επιχειρήσεις να κοινοποιούν στις αρμόδιες αρχές αλλά και στους θιγόμενους μια παραβίαση δεδομένων, υπάρχουν χώρες, όπως η Κίνα και η Ρωσία που δεν ισχύει το ίδιο. Οπότε, πράγματι είναι ένα θέμα για τις επιχειρήσεις κάποιων χωρών η διαχείριση της αρνητικής δημοσιότητας ενός περιστατικού παραβίασης, διαρροής ή καταστροφής δεδομένων. Είναι κι ένας τρόπος για να προτρέψει ο νομοθέτης τις επιχειρήσεις να λάβουν
Η νέα νομοθεσία είναι πιο απαιτητική όσον αφοράν το θέμα της συγκατάθεσης, καθώς ο πολίτης θα πρέπει να κάνει εξίσου εύκολα opt in και opt out αναμενόμενο ενδιαφέρον. Οπότε, η διαβούλευση θα γίνει ως συνήθως όταν είναι έτοιμο το προσχέδιο νόμου. Μάλιστα εδώ θα ήθελα να επισημάνω ότι το ζήτημα αφορά πολύ περισσότερο τις μικρομεσαίες επιχειρήσεις, οι οποίες επεξεργάζονται ωστόσο μεγάλο όγκο πληροφορίας και οι οικονομικές τους αντοχές απέναντι σε ένα πρόστιμο είναι πολύ μικρότερες σε σχέση με μια τράπεζα ή μια εταιρεία τηλεπικοινωνιών. Η νέα νομοθεσία φαίνεται να διαμορφώνει και μια νέα αγορά, κυρίως υπηρεσιών, μεταξύ των οποίων και οι
κά και αρνητικά, δεδομένου ότι όπως σε όλες τις περιπτώσεις η ποιότητα του outsourcing διαφέρει ανάλογα με την υπευθυνότητα και τη γνώση της εταιρείας που παρέχει την υπηρεσία. Επίσης είναι ουσιαστικό ένας τέτοιος ρόλος να ανατίθεται σε κάποιον που γνωρίζει καλά την εσωτερική ροή πληροφοριών και τη χρήση τους στο πλαίσιο της λειτουργίας μίας εταιρίας. Γιατί η Ευρώπη και οι ΗΠΑ γίνονται τόσο ανοιχτές απέναντι στον ανταγωνισμό; Όταν σχεδιάστηκε ο νέος Κανονισμός υπήρχαν αρκετές αντιδράσεις, από πολλούς που θεωρούσαν ότι δε θα
ισχυρότερα μέτρα ασφάλειας. Επιπλέον, μια επιχείρηση που έχει έδρα στην Κίνα, αλλά δραστηριοποιείται στην Ευρώπη είναι υποχρεωμένη να τηρεί την ευρωπαϊκή νομοθεσία. Άρα μια διαρροή δεδομένων, την οποία η ίδια εταιρεία δεν θα αποκαλύψει, αν αποκαλυφθεί θα επιφέρει τις προβλεπόμενες κυρώσεις, δηλ. κυρίως πρόστιμα. αλλά και μεγαλύτερη ίσως βλάβη για τη φήμη της. Αν και αυτό ακούγεται αποτρεπτικό, θα πρέπει να λάβουμε υπ’ όψιν ότι ο Ευρωπαίος αγοραστής συνεχίζει να θεωρείται σημαντική δύναμη σε παγκόσμιο επίπεδο και επομένως οι διεθνείς εταιρείες δεν είναι εύκολο να τον αγνοήσουν.
ε τ ησι α εκ δοση 2017 • netweeK
11
ΣΤΗΝ ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΟΛΟ ΤΟ ΒΑΡΟΣ ΤΗΣ ΕΛΕΓΚΤΙΚΗΣ ΔΙΑΔΙΚΑΣΙΑΣ Αν δεχτούμε ότι ισχύει η θεωρία πως κάθε επιχείρηση θα πέσει κάποια στιγμή θύμα κυβερνοεπίθεσης, ακόμα και ένα μικρό ποσοστό του συνόλου των επιθέσεων να σχετίζεται με απώλεια δεδομένων, το έργο της ελεγκτικής αρχής θα είναι τεράστιο. Συνέντευξη Φίλιππου Μίτλεττον, νομικός, ειδικός επιστήμων, προϊστάμενος του Τμήματος Ελεγκτών της ΑΠΔΠΧ.
12
Ο
Φίλιππος Μίτλεττον είναι ο άνθρωπος που θα διευθύνει την ορχήστρα του ελεγκτικού μηχανισμού. Ο ρόλος της ομάδας του είναι εξαιρετικά κρίσιμος, καθώς το αποτέλεσμα της έρευνάς τους θα ορίσει αν μια επιχείρηση ήταν υπεύθυνη για διαρροή προσωπικών δεδομένων και το ύψος του προστίμου που αναλογεί.
Ο ρόλος της Αρχής από κυρίως γραφειοκρατικό μεταμορφώνεται σε έντονα ελεγκτικό. Αυτή η δύναμη εκτός από δικαιώματα δημιουργεί και ευθύνες. Πως θα κρατήσετε την ισορροπία ανάμεσα στην εφαρμογή του γράμματος του νόμου και της πρακτικής εφαρμογής του; Υπάρχει κάποιο σχέδιο ενημέρωσης των επιχειρήσεων, το οποίο θα εστιάζει στην πρόληψη; Ένα βασικό χαρακτηριστικό του νέου Κανονισμού είναι ακριβώς η μετάβαση από ένα ελεγκτικό μοντέλο που βασιζόταν σε μια σειρά τυπικών διαδικαστικών απαιτήσεων (γνωστοποίηση/άδεια) σε ένα μοντέλο ουσιαστικού ελέγχου όπου το βάρος της ευθύνης για τη συμμόρφωση έχουν πλέον οι υπεύθυνοι επεξεργασίας οι οποίοι υποχρεούνται να οργανώσουν τα συστήματά τους και να αναμορφώσουν την εσωτερική τους οργάνωση κατά τρόπο που να εξασφαλίζεται η απαιτούμενη συμμόρφωση. Πλέον, οι υπεύθυνοι επεξεργασίας απαλλάσσονται από την υποχρεωτική προη-
netweeK • ε τ ησι α εκ δοση 2017
γούμενη γνωστοποίηση των αρχείων τους ή την προηγούμενη υποχρέωση εξασφάλισης άδειας για την επεξεργασία συγκεκριμένων κατηγοριών δεδομένων, αλλά σε περίπτωση καταγγελίας ή ελέγχου οφείλουν να αποδείξουν τη συμμόρφωσή τους με τις ρυθμίσεις του Κανονισμού. Αλλιώς οι κυρώσεις είναι ιδιαιτέρως αυστηρές. Προς τον σκοπό αυτό ο Κανονισμός περιλαμβάνει μια σειρά από υποχρεώσεις τις οποίες οι υπεύθυνοι επεξεργασίας θα κληθούν να εφαρμόσουν ανάλογα με το μέγεθός τους, το είδος και τις κατηγορίες των δεδομένων που επεξεργάζονται, την επικινδυνότητα της επεξεργασίας, τις συνέπειες προς την ιδιωτικότητα κλπ. Αναφέρω χαρακτηριστικά την τήρηση αρχείων δραστηριοτήτων επεξεργασίας, την υποχρέωση ορισμού Data Protection Officer, τη διενέργεια εκτίμησης αντικτύπου, την εκπόνηση κωδίκων δεοντολογίας κλπ. Επίσης ο Κανονισμός προβλέπει τη δυνατότητα πιστοποίησης των υπευθύνων ή των εκτελούντων την επεξεργασία μέσω συγκεκριμένων αυστηρών διαδικασιών καθώς και δυνατότητα θέσπισης σφραγίδων και σημάτων προστασίας δεδομένων. Σημειωτέον ότι υπό τον νέο Κανονισμό τις υποχρεώσεις και τις δυνατότητες αυτές δεν έχουν μόνο οι υπεύθυνοι επεξεργασίας αλλά και οι εκτελούντες την επεξεργασία. Αυτό το νέο πλαίσιο δημιουργεί πράγματι και νέες ευθύνες για την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα η οποία στις 25 Μαΐου 2018 θα κληθεί να εφαρμόσει τις αρμοδιότητές της με έναν τρόπο διαφορετικό από αυτόν που είχαμε συνηθίσει μέχρι τώρα. Η Αρχή προε-
τοιμάζεται ήδη για τη μετάβαση στη νέα κατάσταση ώστε να είναι έτοιμη να ασκήσει πλήρως και αποτελεσματικά τις αρμοδιότητές της όταν έρθει η ώρα. Πρέπει να τονισθεί ότι το επιστημονικό προσωπικό της Αρχής, αν και ολιγάριθμο, είναι ιδιαίτερα υψηλού επιπέδου και επιμορφώνεται συνεχώς προκειμένου να είναι σε θέση να ανταποκρίνεται στις εξελίξεις. Είναι χαρακτηριστικό ότι η Αρχή δέχεται καθημερινά αιτήματα για συμμετοχή του επιστημονικού της προσωπικού σε ενημερωτικές και επιμορφωτικές ημερίδες τόσο του δημοσίου όσο και του ιδιωτικού τομέα. Προς τον σκοπό αυτό έχει εντάξει επίσης στον προγραμματισμό της, μεταξύ άλλων, ενημερωτικές ημερίδες προς συγκεκριμένες κατηγορίες υπευθύνων επεξεργασίας καθώς και σεμινάρια που θα παρέχονται από την Εθνική Σχολή Δημόσιας Διοίκησης για τα στελέχη του Δημοσίου τα οποία θα επιφορτιστούν με την εφαρμογή του Κανονισμού. Μόλις οριστικοποιηθεί το χρονοδιάγραμμα θα γίνουν οι σχετικές ανακοινώσεις. Για να υλοποιήσετε το έργο σας είναι πολύ πιθανό ότι θα χρειαστείτε έμψυχο δυναμικό και εκσυγχρονισμό των υποδομών, έχετε εξασφαλίσει κάποια κονδύλια και έχετε ξεκινήσει κάποια διαδικασία σχεδιασμού; Το θέμα της ενίσχυσης του ανθρώπινου δυναμικού της Αρχής είναι κομβικής σημασίας, δεδομένου ότι η Αρχή είναι από τις πλέον υποστελεχωμένες
ανεξάρτητες αρχές. Ο Πρόεδρος της Αρχής έχει επανειλημμένα θέσει το ζήτημα αυτό στα αρμόδια υπουργεία εφιστώντας μάλιστα την προσοχή στο γεγονός ότι ο ίδιος Κανονισμός επιβάλλει ρητά την υποχρέωση στα κράτη μέλη να διασφαλίζουν ότι οι εθνικές εποπτικές αρχές θα διαθέτουν τους απαραίτητους ανθρώπινους, τεχνικούς και οικονομικούς πόρους και τις αναγκαίες εγκαταστάσεις και υποδομές για την αποτελεσματική εκτέλεση των καθηκόντων τους και την άσκηση των εξουσιών τους. Πρέπει να γίνει κατανοητό προς κάθε κατεύθυνση ότι χωρίς αύξηση του προσωπικού και ενίσχυση της υλικοτεχνικής υποδομής η Αρχή θα αντιμετωπίσει ιδιαίτερες δυσκολίες στην αποτελεσματική άσκηση των αρμοδιοτήτων της. Πώς πρόκειται να αντιμετωπίσετε περιστατικά τα οποία αφορούν μεγάλες εταιρείες που δεν έχουν τα κεντρικά τους γραφεία στην Ελλάδα; Το ζήτημα αυτό ρυθμίζεται ενδελεχώς στο κεφάλαιο VII του Κανονισμού, όπου όπως ίσως γνωρίζετε, θεσπίζεται ένας καινοφανής μηχανισμός συνεργασίας μεταξύ των εποπτικών αρχών των κρατών μελών με επιστέ-
οποία θα μετεξελιχθεί στο ΕΣΠΔ, προετοιμάζεται για την ομαλή μετάβαση στη νέα κατάσταση. Ένα μεγάλο ποσοστό δεδομένων των κατοίκων Ελλάδας φιλοξενείται σε servers του εξωτερικού. Θα απαιτήσετε σε κάποιες ιδιαίτερες περιπτώσεις τα δεδομένα αυτά να επαναπατριστούν; Θεωρώ ότι το φαινόμενο αυτό είναι εγγενές στον ψηφιακό κόσμο και αυτό ο Κανονισμός το λαμβάνει υπόψη. Μην ξεχνάμε ότι το πεδίο εφαρμογής του Κανονισμού καλύπτει πλέον και την επεξεργασία δεδομένων ανεξάρτητα αν πραγματοποιείται στο έδαφος της ΕΕ ή εκτός αυτής. Και προβλέπονται σχετικές ρυθμίσεις τόσο για την επεξεργασία εκτός ΕΕ όσο και για τις διεθνείς διαβιβάσεις δεδομένων. Το θέμα λοιπόν της αποθήκευσης δεδομένων σε servers του εξωτερικού δεν θεωρώ ότι έχει κάποια ιδιαιτερότητα που θα έχρηζε ειδικότερης προσοχής ούτε τίθεται θέμα επαναπατρισμού. Το σημαντικό είναι τα δεδομένα είτε είναι αποθηκευμένα στην Ελλάδα είτε σε άλλο κράτος μέλος είτε ακόμη και εκτός ΕΕ να υπόκεινται στις αντίστοιχες εγγυήσεις προστασίας, για τις οποίες βέβαια ο εκάστοτε υπεύθυνος
συνεχίσετε να ασκείτε έναν εποπτικό ρόλο; Ο εποπτικός ρόλος της Αρχής υφίσταται ούτως ή άλλως ανεξαρτήτως της ειδικότερης ευθύνης της κάθε επιχείρησης και των υποχρεώσεων των υπευθύνων και των εκτελούντων την επεξεργασία, για τις οποίες σας μίλησα προηγουμένως. Προφανώς για ειδικές κατηγορίες δεδομένων που χρήζουν ιδιαίτερης προστασίας, όπως είναι τα ιατρικά δεδομένα αλλά όχι μόνο αυτά, η Αρχή θα επιδείξει ιδιαίτερη μέριμνα. Ένα σημαντικό ζήτημα για την Ελλάδα είναι το πολύ μεγάλο ποσοστό μικρομεσαίων επιχειρήσεων, οι οποίες είναι πιθανό να αποθηκεύουν μεγάλες ποσότητες ευαίσθητων δεδομένων. Πως θα διαχειριστείτε αυτό το πρόβλημα; Κάθε επιχείρηση ως υπεύθυνος επεξεργασίας υπόκειται στην αρχή της αναλογικότητας και της ελαχιστοποίησης των δεδομένων. Αποτελεί υποχρέωση, δηλαδή, των επιχειρήσεων να συλλέγουν, να επεξεργάζονται και να τηρούν μόνο όσα δεδομένα είναι απολύτως απαραίτητα για την επίτευ-
Το θέμα της ενίσχυσης του ανθρώπινου δυναμικού της Αρχής είναι κομβικής σημασίας, δεδομένου ότι η Αρχή είναι από τις πλέον υποστελεχωμένες ανεξάρτητες αρχές. γασμα τη δημιουργία του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων. Σκοπός του μηχανισμού αυτού είναι ακριβώς η αντιμετώπιση περιστατικών διακρατικού χαρακτήρα. Βεβαίως, παρά το γεγονός ότι ο Κανονισμός επιχειρεί να ρυθμίσει με κάθε λεπτομέρεια τη διαδικασία αυτή, κανείς δεν ξέρει ακόμη τα προβλήματα που θα ανακύψουν στην πράξη. Για τον λόγο αυτό η Αρχή και μέσω της εποικοδομητικής συμμετοχής της στη λεγόμενη Ομάδα εργασίας του άρθρου 29, η
επεξεργασίας φέρει την ευθύνη της συμμόρφωσης. Ο εποπτικός ρόλος της Αρχής εκτείνεται ούτως ή άλλως και στα δεδομένα αυτά ανεξαρτήτως τόπου τήρησης. Η νέα νομοθεσία περνά ένα μεγάλο μέρος της ευθύνης προστασίας δεδομένων στην επιχείρηση. Ωστόσο για πολύ ευαίσθητα δεδομένα, όπως τα ιατρικά, θα
ξη του σκοπού της επεξεργασίας. Και φυσικά οφείλουν να αναπτύξουν διαδικασίες σχετικά με τη χρονική διάρκεια για την οποία είναι απαραίτητο να τηρούν τα δεδομένα αυτά και για την ασφαλή καταστροφή τους μετά το πέρας του χρόνου τήρησης. Τα ζητήματα αυτά είναι άμεσα συνδεδεμένα με τις υποχρεώσεις των υπευθύνων επεξεργασίας και την ανάληψη του βάρους της ευθύνης για συμμόρφωση προς τις διατάξεις του Κανονισμού για τις οποίες μιλήσαμε προηγουμένως.
ε τ ησι α εκ δοση 2017 • netweeK
13
Λεωνίδας Κωβαίος Εταίρος, Συμβουλευτικές Υπηρεσίες
Oracle: Απαραιτητη η ξεκαθαρη στρατηγικη ΙΤ ασφαλειας για τη συμμορφωση με τον GDPR Αξιοποιώντας την πολυετή εμπειρία και τις τεχνολογικές δυνατότητές της, η Oracle έχει δεσμευτεί να βοηθήσει τους πελάτες να εφαρμόσουν μια στρατηγική σχεδιασμένη να ανταποκριθεί στις απαιτήσεις ασφαλείας του GDPR.
16
Η
συζήτηση και η δραστηριοποίηση γύρω από το νέο Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR) της ΕΕ, δείχνει ότι μερικοί οργανισμοί ακόμα δυσκολεύονται να κατανοήσουν τις επιπτώσεις που θα έχει, συμπεριλαμβανομένων αλλά όχι περιοριζόμενων, σε : •Π ιθανά πρόστιμα, μέχρι και το 4% του ετήσιου τζίρου, καθώς και νομικά έξοδα •Α ναθεώρηση και αλλαγή οργανωτικών διαδικασιών, εφαρμογών και συστημάτων • Νέες και πιο αυστηρές απαιτήσεις σχετικά με την ασφάλεια και την ιδιωτικότητα Οι οργανισμοί θα πρέπει να έχουν μια ξεκάθαρη στρατηγική και σχέδιο δράσης για να συμμορφωθούν με τις απαιτήσεις του GDPR μέχρι την τελική προθεσμία της 25ης Μαΐου 2018. Βασικά άρθρα του GDPR που επηρεάζουν την IT ασφάλεια Μεταξύ των 99 άρθρων του GDPR περιλαμβάνονται κάποιες βασικές απαιτήσεις που έχουν άμεση επίδραση στον τρόπο με τον οποίο οι οργανισμοί υλοποιούν την IT ασφάλειά τους. Η προστασία των φυσικών προσώπων, των οποίων τα προσωπικά δεδομένα συλλέγονται και επεξεργάζονται, είναι ένα βασικό τους δικαίωμα, το οποίο πλέον αφορά υποχρεωτικά στην ΙΤ ασφάλεια. Στις σύγχρονες κοινωνίες, τα IT συστήματα είναι ευρέως διαδεδομένα και ο GDPR απαιτεί καλή αρχιτεκτονική IT ασφάλειας. Πιο συγκεκριμένα, για την προστασία και ασφάλεια προσωπικών δεδομέ-
netweeK • ε τ ησι α εκ δοση 2017
νων, απαιτείται, μεταξύ άλλων: »Γ νώση του πού βρίσκονται τα δεδομένα (data inventory – Αρθρο 30) »Κ ατανόηση του επιπέδου του κινδύνου (risk awareness – Αρθρο 35) » Αναθεώρηση και, όπου κρίνεται απαραίτητο, αλλαγή υπαρχουσών εφαρμογών (application modification – Αρθρα 15, 16, 17, 18, 19, 20) » Ενσωμάτωση της ασφάλειας στην IT αρχιτεκτονική (architecture integration – Αρθρα 5, 24, 25, 28, 32, 34) Η διατήρηση και συντήρηση ενός data inventory είναι απαίτηση του άρθρου 30 (αρχεία των δραστηριοτήτων επεξεργασίας) του GDPR, και, γενικότερα, το σημείο εκκίνησης για οποιαδήποτε δραστηριότητα που σχετίζεται με τη συλλογή και διαχείριση προσωπικών δεδομένων. Η μείωση του κινδύνου είναι ένα σημαντικό κομμάτι της καλής ασφάλειας IT. Οι οργανισμοί πρέπει να περιορίσουν τους κινδύνους που μπορούν να οδηγήσουν σε παραβίαση προσωπικών δεδομένων και να προχωρήσουν σε αξιολόγηση κινδύνου και επιπέδου ασφάλειας. Για ορισμένα από τα δικαιώματα του υποκειμένου των δεδομένων (Αρθρα 15-20) ίσως απαιτηθούν τροποποιήσεις στις εταιρικές εφαρμογές που ενεργοποιούν αυτά τα δικαιώματα (π.χ. “δικαίωμα στη λήθη”). Επιπλέον μέτρα μπορούν να ληφθούν μέσω της ΙΤ αρχιτεκτονικής. Για παράδειγμα, η περίπτωση της κρυπτογράφησης δικτύου ή βάσης δεδομένων. Τα μέτρα που μπορούν να ληφθούν για την υλοποίηση της αρχιτεκτονικής είναι συνήθως ευκολότερα και φθηνότερα από τις τροποποιήσεις των εφαρμογών, και γενικότερα, είναι πιο αξιόπιστα, καθώς δεν περι-
ορίζονται από την ανάγκη γνώσης μοντέλων δεδομένων εφαρμογών και επιχειρηματικής λογικής. Σε μεγάλες επιχειρήσεις, όπου είναι πιθανή η βαθιά στρωματοποίηση των IT συστημάτων και η έλλειψη γνώσης εφαρμογών, αυτή η προσέγγιση μπορεί να είναι ευκολότερη για τη διευκόλυνση της προστασίας των προσωπικών δεδομένων. Οι λύσεις της Oracle και ο GDPR Η Oracle έχει μια διευρυμένη πρόταση που βοηθάει στην αντιμετώπιση των απαιτήσεων του GDPR με ευρεία γκάμα προϊόντων, λύσεων και υπηρεσιών cloud. Discovery. Τα οn premises προϊόντα και οι υπηρεσίες cloud της Oracle μπορούν να βοηθήσουν στον εντοπισμό προσωπικών δεδομένων και στη χαρτογράφηση της διαρροής δεδομένων. Αυτή η τεχνολογία αφορά στις αρχές διακυβέρνησης των δεδομένων και παρέχει δυνατότητες όπως data lineage, asset inventory, and data discovery. Enrichment. Περιλαμβάνει τις απαραίτητες τροποποιήσεις εφαρμογών για τη συμμόρφωση με τα δικαιώματα του υποκειμένου των δεδομένων. Επιπλέον, την πιθανή απαραίτητη ενοποίηση δεδομένων των πελατών ώστε να υπάρχει μία μοναδική εικόνα των υποκειμένων των δεδομένων σε όλο τον οργανισμό. Foundation. Το ολοκληρωμένο πακέτο ώριμων λειτουργικών τεχνολογιών της Oracle για την ενίσχυση της καλής ασφάλειας με έμφαση στη διαθεσιμότητα και απόδοση των υπηρεσιών.
ORACLE SECURITY SOLUTIONS THAT CAN HELP ADDRESS GDPR Security Cloud Oracle Product Short Description Measure Service Protect the Encrypt Oracle Databases transparently and redact sensitive Advanced Security data application data Protect the Securely manage encryption key lifecycle as well as passwords, Key Vault data certificates and more. Data Masking and Protect the Anonymize production data for testing and development Subsetting data environments. Access Control privileged user access using least privilege and separation of Database Vault controls duties enforcement. Identity Cloud Access Manage identities from the cloud for hybrid access, authorization, X Service controls authentication, provisioning, and SSO. Access Manage the identity lifecycle: user administration, privileged account Identity Governance controls management, and identity intelligence. Access Access Management IT asset protection and identity federation for multiple scenarios. controls Access Directory Services Manage large, fast read-write user directories. controls Allow individual data records to be labeled with metadata that Access Label Security describes the characteristics of the data, and then enforces access controls to those records based on the metadata. Audit Vault and Monitor, Centralized auditing, monitoring, reporting and alerting of Database Block and anomalous database activity management. Firewall Audit Security Monitoring Monitor, Monitor security incidents across heterogeneous and hybrid cloud and Analytics Cloud Block and X environments. Service Audit Monitor, Discover unsanctioned cloud services and implement consistent CASB Cloud Service Block and X security policies across sanctioned SaaS, PaaS, and IaaS Audit environments. Configuration and Secure Implement and maintain continuous configuration and compliance Compliance Cloud X compliance for IT assets. Service Enterprise Manager: Secure Check that IT assets are properly installed and securely configured. Configuration Mgmt. compliance Enforcement. Οι τεχνολογίες ασφάλειας ενισχύουν τις πολιτικές και τους ελέγχους ασφαλείας για την προστασία ανθρώπων, λογισμικών και συστημάτων. Αυτό καθοδηγεί προϊόντα και υπηρεσίες να παρέχουν δυνατότητα ελέγχων ασφαλείας για την πρόβλεψη, πρόληψη, διάγνωση και απόκριση σε όλο το φάσμα της ασφάλειας, διαχείρισης ταυτότητας και πρόσβασης των βάσεων δεδομένων, καθώς και την ανάλυση των συμπεριφορών των χρηστών. Προϊόντα ασφαλείας της Oracle που βοηθούν στην αντιμετώπιση του GDPR Η Oracle παρέχει on premises και cloud λύσεις και προϊόντα ασφαλείας για την προστασία των δεδομένων,τη διαχείριση ταυτότητων χρηστών και την παρακολούθηση και τον έλεγχο
IT περιβαλλόντων. Ο ακόλουθος πίνακας περιλαμβάνει μία σύντομη, αλλά όχι πλήρη, περιγραφή των λύσεων ανά τύπο μέτρου ασφαλείας. Ως πρώτο βήμα προς την εναρμόνιση με το GDPR, η Oracle προτείνει το Oracle Advanced Security Options, εργαλείο για κρυπτογράφηση δεδομένων at rest, λόγω δύο σημαντικών παραγόντων: η κρυπτογράφηση θεωρείται μια καλή πρακτική και οι βάσεις δεδομένων συχνά περιέχουν σημαντικά δεδομένα που μπορούν να ωφεληθούν από την ισχυρή κρυπτογράφηση. Συμπερασματικά, οι σοβαρές παραβιάσεις προσωπικών δεδομένων μπορούν να βλάψουν την εμπορική επωνυμία, την αξία και τη φήμη της επιχείρησης. Ο δρόμος για τη συμμόρφωση με τον GDPR απαιτεί συντονισμένη στρατηγική και συνεργασία
μεταξύ του νομικού τμήματος, του HR, του marketing, της ασφάλειας, του IT, κ.λπ. Για περισσότερες πληροφορίες σχετικά με το πώς η Oracle μπορεί να βοηθήσει επισκεφθείτε την ιστοσελίδα oracle.com/goto/gdpr. INFO Oracle Ελλάς Μεσογείων 265, Ν.Ψυχικό 15451 T: 210 6789200, F: 210 6775500 E: Mailbox_gr@oracle.com www.oracle.com/gr
ε τ ησι α εκ δοση 2017 • netweeK
17
GDPR: χρHσιμες συμβουλEς για Oσες επιχειρHσεις δεν Eχουν ξεκινHσει ακOμα Το ζητούμενο για τις επιχειρήσεις είναι να συνεχίζουν να αξιοποιούν τις απεριόριστες δυνατότητες της τεχνολογίας στην επεξεργασία δεδομένων και στο marketing, αλλά με νόμιμο τρόπο, προσαρμοζόμενες έξυπνα στο νέο θεσμικό πλαίσιο. Συνέντευξη Παναγιώτη Αναστασάκη, CEO της PRIORITY
18
Από την εμπειρία σας από τα πρώτα έργα GDPR που υλοποιήθηκαν στην Ελλάδα, η συμμόρφωση με τον GDPR τελικά είναι νομικό θέμα ή ζήτημα της πληροφορικής; Παναγιώτης Aναστασάκης: Κατ΄αρχάς όντως είχαμε την τύχη να μας εμπιστευθούν μεγάλοι οργανισμοί, ήδη από τα τέλη του 2016, με τους οποίους ξεκινήσαμε μεγάλα έργα GDPR και των οποίων την 1η φάση, την αξιολόγηση συμμόρφωσης, ολοκληρώσαμε εδώ και αρκετούς μήνες. Η εμπειρία μας συνεχώς εμπλουτίζεται από τα έργα που τώρα υλοποιούμε σε μεγάλες και μικρές επιχειρήσεις όλων των κλάδων. Υπάρχουν αρκετές παρανοήσεις σχετικά με τον GDPR: μία από αυτές είναι ότι αποτελεί ένα θέμα που αφορά αποκλειστικά την πληροφορική ή την ασφάλεια πληροφοριών ή τις νομικές υπηρεσίες. Στην πράξη ο GDPR είναι καταρχάς θέμα του business και των operations. Τα στελέχη που χαράσσουν στρατηγική και έχουν την ευθύνη για τα operations, το marketing και τις πωλήσεις είναι αυτοί που καταλαβαίνουν καλύτερα από κάθε άλλον την αξία και το σκοπό κάθε προσωπικού δεδομένου. Είναι αυτοί που αποφασίζουν ποια προσωπικά δεδομένα θα συγκεντρωθούν από πελάτες, από πελάτες πελατών ή από εργαζομένους και συνεργάτες και είναι αυτοί που καθορίζουν ποιοι πρέπει να τα βλέπουν, πώς να τα επεξεργάζονται, με ποια άλλα δεδομένα θα πρέπει να τα συνδυάζουν, πού να τα στέλνουν, ποσό χρόνο να διατηρούνται, κλπ.
netweeK • ε τ ησι α εκ δοση 2017
Επομένως ποιοι πρέπει να εμπλακούν σε ένα έργο GDPR; Η εσωτερική ομάδα κάθε επιχείρησης που ξεκινάει το έργο της αξιολόγησης και στη συνέχεια της συμμόρφωσης με τον GDPR πρέπει να ξεκινάει από τα ανώτατα στελέχη των operations. Προφανώς η πληροφορική παίζει ένα πολύ σημαντικό ρόλο: κατανοεί την ανάγκη να γίνει συνολική διάγνωση ασφάλειας των δεδομένων (από οργανωτική, τεχνολογική, πρακτική και διαδικαστική σκοπιά), συμμετέχει στον καθορισμό των απαραίτητων επενδύσεων βελτίωσης των υποδομών και παρέχει τις τεχνολογικές λύσεις σε ζητήματα πέραν της ασφάλειας όπως το δικαίωμα στη διαγραφή, την ανάγκη για να ληφθούν ξανά και μαζικά σωστές συγκαταθέσεις από όλους τους πελάτες, κλπ. Φυσικά ο GDPR είναι και νομικό ζήτημα, απαιτεί νομικές ερμηνείες και γνωματεύσεις σε πολλές περιοχές που είναι ακόμα θολές. Είναι βέβαιο πως όσες διευκρινιστικές και να βγουν, πάντα θα υπάρχουν γκρίζες ζώνες. Πρέπει να λάβουμε υπόψη μας ότι δε μιλάμε απλά για έναν Κανονισμό 90 σελίδων, αλλά για ένα καθημερινά μεταβαλλόμενο, πολύπλοκο θεσμικό πλαίσιο, που αποτελείται από ισχύοντες νόμους, δικαστικές αποφάσεις, οδηγίες και γνωμοδοτήσεις της ΑΠΔΠΧ και του WP 29, διεθνή πρότυπα, άλλα σχετικά ευρωπαϊκά νομοθετήματα όπως το ePrivacy, κ.ά. Σε κάθε βήμα λοιπόν ενός έργου GDPR από το στάδιο της διάγνωσης, έως τη λήψη αποφάσεων, την υλοποίησή τους, την επαλήθευση αποτελεσματικής εφαρμογής τους και την εξασφάλιση της διαρκούς συμμόρ-
φωσης, είναι απαραίτητο να κάθονται στο ίδιο τραπέζι ανώτερα στελέχη των operations, της νομικής υπηρεσίας, του HR, του ΙΤ, της ασφάλειας πληροφοριών. Στους μεγαλύτερους οργανισμούς πρέπει να συμμετέχουν και οι επικεφαλής της Κανονιστικής Συμμόρφωσης, του Εσωτερικού Ελέγχου και της Διαχείρισης Κινδύνων. Ποιος πρέπει να είναι ο συντονιστής του όλου εγχειρήματος και ποιος πρέπει να είναι ο Data Protection Officer (DPO); Αυτή είναι μία πολύ καλή ερώτηση καθώς η απάντηση μπορεί να είναι πολύ διαφορετική ανά περίπτωση. Στους μεγαλύτερους οργανισμούς είναι λογικό το έργο να συντονίζεται από το Τμήμα Κανονιστικής Συμμόρφωσης, συχνά σε συνεργασία με το Τμήμα ΙΤ. Ιδανικά συστήνουμε να καθορισθεί εγκαίρως ο DPO, ώστε να διευθύνει εξαρχής το έργο και μέσω αυτού να εκπαιδευθεί και να αποκτήσει μία ολοκληρωμένη εικόνα. Σε άλλες επιχειρήσεις οι υπεύθυνοι ΙΤ είναι συχνά αυτοί που έχουν συνειδητοποιήσει πρώτοι τι επιπτώσεις έχει ο GDPR και προσπαθούν να κινητοποιήσουν και να ευαισθητοποιήσουν τον υπόλοιπο οργανισμό, συμπεριλαμβανομένης της Διοίκησης, που ας μην ξεχνάμε ότι έχει και την ευθύνη απέναντι στο νόμο και για τον GDPR. Ως εκ τούτου πολλές φορές οι ΙΤ Managers επιφορτίζονται με την ευθύνη συντονισμού του έργου ή ακόμα και το ρόλο του DPO, το οποίο όμως είναι κάτι που πρέπει να το σκεφθούμε και να το κρίνουμε ανά περίπτωση. Απαιτείται πραγματικά ο ρόλος του DPO ή αρκεί ένας συντο-
νιστής σε θέματα προσωπικών δεδομένων; Υπάρχει ζήτημα σύγκρουσης συμφερόντων; Εμείς παρόλο που παρέχουμε εξωτερικές υπηρεσίες DPO, σε πολλές περιπτώσεις κρίνουμε ως πλέον συμφέρον για τον πελάτη μας να εμπιστευθούν το ρόλο αυτό σε δικό τους στέλεχος. Τους συμβουλεύουμε να είναι ένα στέλεχος που να γνωρίζει πολύ καλά τα operations της εταιρείας, να μπορεί να κατανοήσει τα νομικά και τεχνολογικά θέματα και να είναι ιδιαιτέρως επικοινωνιακός, αφού θα χρειασθεί να επικοινωνεί σε συνεχή βάση με τη Διοίκηση, με τους εργαζόμενους, με πελάτες και με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα. Το πιο σημαντικό είναι όμως σε κάθε περίπτωση να έχει δημιουργηθεί μία ομάδα που να περιλαμβάνει όλους τους 1st και 2nd line Managers με σαφώς καθορισμένες αρμοδιότητες και ευθύνες, η οποία θα πλαισιώνει, θα συμβουλεύει και θα υποστηρίζει τον DPO.
συνεργάτες που μπορούν να αναλάβουν αξιόπιστα την παροχή λύσεων στα θέματα νομικών ερμηνειών και τεχνολογίας. Εφιστούμε την προσοχή στις επιχειρήσεις, καθώς κάποιοι θεωρούν ότι το κρίσιμο μέρος του GDPR είναι η εγκατάσταση firewall ή DLP ή η συγγραφή κάποιων διαδικασιών. Το GDPR έχει γίνει ένα buzzword που όλοι θέλουν να χρησιμοποιήσουν για να πουλήσουν τα προϊόντα τους. Θα συμβούλευα επομένως τις επιχειρήσεις να απαιτούν ο σύμβουλος τους να έχει αποδεδειγμένη εμπειρία σε έργα GDPR σε αντίστοιχους κλάδους και να επικοινωνούν με τους πελάτες του για να μάθουν την αποτελεσματικότητα της εργασίας του. Ακόμα, να απαιτούν η εταιρεία συμβούλων management να διαθέτει στην ομάδα της ειδικούς στην ασφάλεια πληροφοριών και να συνεργάζεται με έμπειρους νομικούς. Την αποφυγή προστίμων που μπορούν να φθάσουν τα 20 εκατομμύρια € ή το 4% του παγκοσμίου τζίρου πρέπει να την εμπιστευθείτε σε σίγουρα χέρια!
Τι πρέπει να προσέχουν οι επιχειρήσεις όταν επιλέγουν εξωτερικούς συμβούλους για τα έργα GDPR; Κατ΄ αντιστοιχία με τα ανωτέρω, οι σοβαροί πάροχοι συμβουλευτικών υπηρεσιών συμμόρφωσης με τον GDPR διαθέτουν ομάδα που αποτελείται από συμβούλους management, από ειδικούς στην ασφάλεια πληροφοριών και νομικούς και τεχνολογικούς
Πιστεύετε ότι ο ρυθμός εξέλιξης του digital marketing και των big data analytics θα ανακοπεί εξαιτίας του GDPR; Όχι, αυτή είναι μία μη αναστρέψιμη εξέλιξη. Το ζητούμενο για τις επιχειρήσεις είναι να συνεχίζουν να αξιοποιούν τις απεριόριστες δυνατότητες της τεχνολογίας στην επεξεργασία δεδομένων και στο marketing, αλλά
με τρόπο νόμιμο, προσαρμοζόμενες έξυπνα στο νέο θεσμικό πλαίσιο, ώστε να ελαχιστοποιήσουν τον κίνδυνο να πληρώσουν ένα πολύ υψηλό πρόστιμο και να εκτεθούν στα μάτια των πελατών τους. Πέραν της κανονιστικής υποχρέωσης, ένα έργο GDPR μπορεί να αποφέρει οφέλη στις επιχειρήσεις; Το GDPR είναι μία πολύ καλή ευκαιρία να βάλουμε μία τάξη στο τεράστιο ζήτημα της διαχείρισης των δεδομένων μας και της ασφάλειάς τους, ενώ εάν λάβουμε υπόψη μας ότι θα διαμορφώσει καταναλωτικές συνήθειες, αποτελεί και μία καλή ευκαιρία marketing για τις σοβαρές επιχειρήσεις που μπορούν να αποδείξουν στους πελάτες τους ότι σέβονται την ιδιωτικότητά τους περισσότερο από τους ανταγωνιστές τους. INFO PRIORITY Quality Consultants Σοφοκλή Βενιζέλου 49-51, Λυκόβρυση Τ: 210 2509900 F: 210 2580069 S: www.priority.com.gr
ε τ ησι α εκ δοση 2017 • netweeK
19
Ο Νεος Γενικος Κανονισμος για την Προστασια των Δεδομενων μας αφορα ολους! Περίπου 6 μήνες μας χωρίζουν από την πλήρη εφαρμογή του Νέου Γενικού Κανονισμού για την Προστασία των Δεδομένων, του περίφημου GDPR (General Data Protection Regulation). Όλες οι επιχειρήσεις και οι οργανισμοί, δημόσιοι και ιδιωτικοί, υποχρεούνται να συμμορφωθούν με τις απαιτήσεις του. Tης Nάντιας Λιάπη, Governance, Risk & Compliance Services Director, Space Hellas (Certified DPO, CISM, ISO 27001 & ISO 20000 Lead Auditor, ITIL Service Operation)
20
Η
Ευρωπαϊκή Ένωση, 20 χρόνια μετά την Οδηγία 95/46/ΕΚ για τα Προσωπικά Δεδομένα και λαμβάνοντας υπόψη τον τρόπο που αυτή ερμηνεύτηκε και υλοποιήθηκε από τις χώρες – μέλη, προχώρησε στη δημιουργία ενός νέου Κανονισμού με διπλό στόχο: να προάγει την ελεύθερη διακίνηση των δεδομένων εντός της για να ενισχύσει με τον τρόπο αυτό την ψηφιακή οικονομία και ταυτόχρονα, να προστατεύσει τα φυσικά πρόσωπα από την κακή χρήση των προσωπικών τους δεδομένων. Το 2016 ήταν μια χρονιά που ο αριθμός των παραβιάσεων δεδομένων (data breaches) αυξήθηκε κατά 40% σε σχέση με το 2015, σύμφωνα με την ετήσια αναφορά του Identity Theft Resource Center and CyberScout. Αυτό αποδεικνύει ότι τα προσωπικά δεδομένα κινδυνεύουν να χαθούν ή να κλαπούν περισσότερο από ποτέ. Με δεδομένο ότι, σημαντικός παράγοντας για να παραχωρήσουν οι άνθρωποι τα προσωπικά τους δεδομένα είναι η εμπιστοσύνη που έχουν ότι αυτά θα είναι προστατευμένα, τα στοιχεία για τις παραβιάσεις είναι ιδιαίτερα ανησυχητικά. Ταυτόχρονα, η κοινωνική δικτύωση, οι σελίδες ηλεκτρονικού εμπορίου, οι κάρτες μέλους και γενικότερα ο τρόπος που ζούμε και δραστηριοποιούμαστε προσωπικά και επαγγελματικά, μας οδηγεί να παρέχουμε όλο και πιο συχνά, περισσότερα προσωπικά δεδομένα.
netweeK • ε τ ησι α εκ δοση 2017
Για την αντιμετώπιση αυτής της αυ- μα Προστασίας Προσωπικών Δεδοξανόμενης πρόκλησης, η Ευρωπαϊκή μένων που θα δημιουργεί στον οργαΈνωση δημιούργησε τον Γενικό Κα- νισμό την απαραίτητη κουλτούρα και νονισμό Προστασίας Δεδομένων, που θα καλύπτει όλες τις απαιτήσεις του είναι ότι πιο ολοκληρωμένο υπάρχει Κανονισμού. μέχρι τώρα σε κανονιστικό πλαί- Ταυτόχρονα, είμαστε σε θέση να συμσιο. Ο Κανονισμός ψηφίστηκε τον βουλεύσουμε τους πελάτες μας για Απρίλιο του 2016, ενώ δόθηκαν δύο τα οργανωτικά και τεχνικά μέτρα, τα χρόνια στους οργανισμούς και τις οποία είναι απαραίτητα και ταιριάεπιχειρήσεις για να προσαρμοστούν, ζουν στις ανάγκες τους. Σήμερα, οι καθώς οι απαιτήσεις του Κανονισμού περισσότερες επιχειρήσεις και ορεπηρεάζουν σημαντικά τον τρόπο γανισμοί έχουν ήδη ενημερωθεί για το νέο Κανονισμό και αναζητούν τον λειτουργίας τους. Έτσι, στις 25 Μαΐου του 2018, οι επι- τρόπο συμμόρφωσης. Εμείς, προτείχειρήσεις και οι οργανισμοί θα πρέ- νουμε να ακολουθήσουν τα παρακάπει να είναι σε θέση να αποδείξουν, τω βήματα: ότι έχουν προσαρμοστεί στις νέες • Πρώτο και πιθανόν σημαντικότερο βήμα, η ενημέρωση και ευαισθητοαπαιτήσεις. Αυτή είναι και η πρώτη, σημαντικότατη, απαίτηση του Κανο- ποίηση των βασικών στελεχών του οργανισμού για τον Κανονισμό και νισμού: Η αρχή της Λογοδοσίας (Account- τη δημιουργία κατάλληλης ομάδας, τόσο από την πλευρά της εταιρείας ability Principle). Διατρέχει όλο τον Κανονισμό και αποτελεί τη με- μας, όσο και από την πλευρά του γαλύτερη πρόκληση προς τις επιχει- οργανισμού. Συμβουλεύουμε τον οργανισμό για την αναγκαιότητα ή ρήσεις και τους οργανισμούς, καθώς μη, ορισμού Υπεύθυνου Προστασίας τους μεταφέρει την ευθύνη για την εύρεση των κατάλληλων οργανωτι- Δεδομένων για τις ικανότητες, δεκών και τεχνικών μέτρων, που ικα- ξιότητες, γνώσεις και εμπειρία που νοποιούν τις απαιτήσεις του. Ταυτό- πρέπει να κατέχει. Κερδίζουμε την αφοσίωση της Ανώτατης Διοίκησης, χρονα, λαμβάνουν υπόψη τη φύση, τόσο στη συμμόρφωση προς τον το πεδίο εφαρμογής, το πλαίσιο και Κανονισμό, όσο και στην υποστήριτους σκοπούς της επεξεργασίας που ξη του Προγράμματος Προστασίας εκτελούν, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευ- Προσωπικών Δεδομένων. σης και σοβαρότητας, για τα δικαιώ- • Χαρτογραφούμε συνολικά το Κανονιστικό, Ρυθμιστικό και Νομοθετιματα και τις ελευθερίες των φυσικών κό Πλαίσιο που αφορά τον οργανιπροσώπων. σμό, ώστε να το λαμβάνουμε υπόψη Η Space Hellas με πολυετή εμπειρία μας καθ’ όλη τη διάρκεια κατάρτιστην Ασφάλεια Πληροφοριών και σης του Προγράμματος Προστασίας Πληροφοριακών Συστημάτων είναι σε θέση να υλοποιήσει ένα Πρόγραμ- Δεδομένων.
•Ε ντοπίζουμε όλα τα προσωπικά δεδομένα είτε είναι δομημένα και βρίσκονται στα πληροφοριακά του συστήματα, είτε όχι (αδόμητα δεδομένα), χρησιμοποιώντας αυτοματοποιημένα εργαλεία, ερωτηματολόγια και συνεντεύξεις. Χαρτογραφούμε όλα τα στοιχεία που σχετίζονται με αυτά (πώς συλλέχτηκαν, τι νομιμοποιεί τη συλλογή τους, που αποθηκεύονται και για πόσο, ποιος έχει πρόσβαση σε αυτά, πώς και που μεταφέρονται κ.λπ.). Εντοπίζουμε το χώρο όπου τα προσωπικά δεδομένα αποθηκεύονται, εξετάζουμε τη χρήση Cloud υπηρεσιών, καθώς και την πιθανότητα μεταφοράς των δεδομένων εκτός Ε.Ε. •Ε φ’ όσον υπάρχουν επεξεργασίες υψηλού κινδύνου στον οργανισμό, διενεργούμε Data Protection Impact Assessment (DPIA) για κάθε μία από αυτές, καθώς και τα απαραίτητα αρχεία επεξεργασίας. Η DPIA θα τροφοδοτήσει στη συνέχεια τόσο την Αξιολόγηση Κινδύνου, ας μη ξεχνάμε ότι ο Κανονισμός προάγει τη χρήση μεθοδολογιών Διαχείρισης Κινδύνου, όσο και το τελικό Πλάνο Συμμόρφωσης. •Ο GDPR απαιτεί εξ’ ορισμού την ασφάλεια των προσωπικών δεδομένων και από το επίπεδο του σχεδιασμού για κάθε νέα επεξεργασία (Security by default and by design). Για να το επιτύχουμε αυτό ορίζουμε κατάλληλες διαδικασίες και επεμβαίνουμε, όπου και όταν χρειάζεται, στον τρόπο λειτουργίας του οργανισμού. •Δ ιενεργούμε IT Security Audit, με βάση την εμπειρία μας, καθώς έχουμε στο ενεργητικό μας πολλά αντίστοιχα έργα στους μεγαλύτερους οργανισμούς στην Ελλάδα, αλλά και κατάλληλα εργαλεία. Αυτή η διαδικασία θα προσφέρει στον οργανισμό μια τεκμηριωμένη χαρτογράφηση όλης της πληροφοριακής υποδομής του και την αντίστοιχη αξιολόγηση ασφαλείας της, από την οπτική της διαθεσιμότητας, της ακεραιότητας και της εμπιστευτικότητας των πληροφοριών. • Αναθεωρούμε και συμπληρώνουμε τις Πολιτικές και τις Διαδικασίες Ασφάλειας Πληροφοριών, ώστε να συμπεριλάβουν τα προσωπικά δεδομένα και τη δική τους προστασία.
Στις Πολιτικές αυτές συμπεριλαμ- τήσεις του νέου Κανονισμού και θα βάνονται η βασική Πολιτική Προ- είναι έτοιμος να ανταπεξέλθει σε στασίας Προσωπικών Δεδομένων, η οποιαδήποτε αντίστοιχη πρόκληΠολιτική αντιμετώπισης περιστατι- ση εμφανιστεί στο μέλλον. Η Space κών ασφάλειας (Incident Response Hellas παρέχει επίσης και υπηρεσίPlan), η Πολιτική ενημέρωσης της ες εξωτερικού προς τον οργανισμό Αρχής και των φυσικών προσώπων Υπευθύνου Προστασίας Δεδομένων, σε περίπτωση παραβίασης και πολ- αναγνωρίζοντας την αδυναμία σε κάποιες περιπτώσεις των πελατών λές άλλες. της να αναθέσουν εσωτερικά αυτό •Ε κπαιδεύουμε, ενημερώνουμε και ευαισθητοποιούμε το σύνολο του το ρόλο, είτε για λόγους σύγκρουσης προσωπικού που έχει επαφή με τα συμφερόντων, είτε ελλείψει αντίστοιπροσωπικά δεδομένα. Όταν έχει χων προσόντων ή διαθεσιμότητας. ολοκληρωθεί ο βασικός κορμός του Παρότι θεωρούμε ότι όλοι οι οργανιΠρογράμματος Προστασίας Δεδο- σμοί έχουν πραγματικό όφελος από μένων, διενεργούμε εσωτερική επι- τη συμμόρφωση με τον Κανονισμό, θεώρηση, η οποία συμπεριλαμβάνει δεν πρέπει να ξεχνάμε και τα πρόόλους τους εργαζόμενους που έχουν στιμα που μπορεί να επιβληθούν σε σχέση με τα προσωπικά δεδομένα, περίπτωση παραβίασης και τα οποία ώστε να ελέγξουμε το πραγματικό μπορεί να φτάσουν και στο 4% του επίπεδο ενημέρωσης και ευαισθη- παγκόσμιου κύκλου εργασιών μιας τοποίησης του οργανισμού και να επιχείρησης ή στα 20.000.000€, λάβουμε συμπληρωματικά μέτρα, όποιο από τα δύο είναι μεγαλύτερο. Στην πράξη η Space Hellas, βοεφ’ όσον απαιτείται. ηθάει τους πελάτες τους να • Συμβουλεύουμε τον οργανισμό πώς να υλοποιήσει τα δικαιώματα των «μεταφράσουν» τον Κανονισμό φυσικών προσώπων, στα πληροφο- και τις απαιτήσεις του στη δική ριακά του συστήματα. Για παράδειγ- τους πραγματικότητα. μα, πώς να διαγράψει τα προσωπικά Τους συμβουλεύει πώς να συμμορδεδομένα κάποιου φυσικού προσώ- φωθούν με αυτόν, ώστε να εξασφαπου που το αιτήθηκε και ποιά από λίσουν ένα ακόμη ανταγωνιστικό αυτά μπορεί ή δεν μπορεί να δια- πλεονέκτημα που θα ισχυροποιήσει γράψει, βάσει άλλων νομοθεσιών ή την παρουσία τους στον επαγγελματικό χώρο όπου δραστηριοποιούνται κανονιστικών υποχρεώσεων. • Η ανταλλαγή προσωπικών δεδομέ- και ταυτόχρονα, θα ικανοποιήσουν νων φυσικών προσώπων που έχει το κοινό αίσθημα για την προστασία μια εταιρεία στην κατοχή της με των προσωπικών δεδομένων και προμηθευτές, συνεργάτες και υπερ- της ιδιωτικότητας. Έτσι, θα απογολάβους πρέπει να αναθεωρηθεί φύγουν τα υψηλά πρόστιμα και τις εκ βάθρων ώστε να οριστούν και επιπτώσεις στη φήμη τους που συνα συμφωνηθούν ο τρόπος και το νεπάγεται η μη συμμόρφωση με τον είδος της επεξεργασίας που κάνει ο Κανονισμό. υπεύθυνος της επεξεργασίας και οι εκτελούντες αυτήν. INFO • Φροντίζουμε το Πρόγραμμα να καλύπτει όλες τις απαιτήσεις του ΚαSPACE HELLAS νονισμού για τεχνικά και οργανωΛ. Μεσογείων 312, τικά μέτρα. Θέτουμε μετρήσιμους 153 41 Αγ. Παρασκευή στόχους για την αξιολόγηση του Τ: 210 6504100 Προγράμματος, ελέγχουμε τα επιμέE: info@space.gr ρους στοιχεία του και φροντίζουμε S: www.space.gr για τη διαρκή βελτίωσή του. Στο τέλος ενός τέτοιου προγράμματος, μέρος του οποίου αποτελούν όλα τα παραπάνω, ο οργανισμός θα έχει προστατεύσει αποτελεσματικά τις πληροφορίες και τα προσωπικά δεδομένα που έχει στην κατοχή του, θα έχει συμμορφωθεί με τις απαι-
ε τ ησι α εκ δοση 2017 • netweeK
21
ΣΤΡΑΤΗΓΙΚΗ ΣΥΜΜΟΡΦΩΣΗΣ ΜΕ ΤΟ ΓΕΝΙΚΟ ΚΑΝΟΝΙΣΜΟ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ Η μεθοδολογία ολιστικής στρατηγικής GDPR της SYNTAX θέτει τους πελάτες και τα δεδομένα τους σε ύψιστη προτεραιότητα, προστατεύει τη φήμη και ενισχύει την ανταγωνιστικότητα του οργανισμού. Tου Καλαντζή Παναγιώτη, ISGRC & Data Privacy Manager, SYNTAX Πληροφορική Α.Β.Ε.Ε.
22
Σ
τη SYNTAX, με βάση την μακροχρόνια εμπειρία μας σε θέματα προστασίας της ιδιωτικότητας των πληροφοριών, έχουμε σχεδιάσει μια ολιστική προσέγγιση που εξασφαλίζει τη συμμόρφωση των οργανισμών με τον Γενικό Κανονισμό Προστασίας Δεδομένων και επιτρέπει τον αξιόπιστο επιχειρηματικό έλεγχο της πληροφορίας. Μόλις επτά μήνες απομένουν μέχρι τον Μάιο του 2018 που τίθεται σε πλήρη ισχύ ο ΓΚΠΔ, που αφορά στα δικαιώματα των υποκειμένων, όπως στη λήθη και στη φορητότητα των δεδομένων τους καθώς και στις υποχρεώσεις των εταιρειών και τις συνέπειες που πηγάζουν από τη μη συμμόρφωση τους με τον κανονισμό. Πρόκειται για μια πολύ σημαντική αλλαγή στην προστασία των προσωπικών δεδομένων και της ιδιωτικής ζωής των πολιτών της ΕΕ που έρχεται να εναρμονίσει το πλαίσιο λειτουργίας σε όλα τα κράτη- μέλη της Ε.Ε.
Ο ΓΚΠΔ είναι μια επιχειρηματική πρόκληση η οποία προϋποθέτει στρατηγική αντιμετώπιση Η συμμόρφωση με τον ΓΚΠΔ είναι πρωτίστως μια στρατηγική επιχειρηματική πρόκληση προκειμένου να ανταποκριθεί Ενδεικτικές λύσεις GDPR
netweeK • ε τ ησι α εκ δοση 2017
ο οργανισμός στην πραγματικότητα της αγοράς και να συνεχίσει την εύρυθμη λειτουργία του μέσα από όλα τα κανάλια επικοινωνίας με το εξωτερικό περιβάλλον. Ως εκ τούτου, μπορεί να ληφθεί ως θετική επιχειρησιακή πρόκληση και να συμβάλει στη βελτιστοποίηση των διαδικασιών του οργανισμού με τα γνωστά οφέλη στην τυποποίηση, την αποδοτικότητα και στην κερδοφορία. Επιπρόσθετα, η θέσπιση στρατηγικής διαχείρισης των δεδομένων θέτει τους πελάτες- και τα δεδομένα τους – σε ύψιστη προτεραιότητα, βελτιώνει τη φήμη του οργανισμού και κατ’ επέκταση ενισχύει την ανταγωνιστικότητα του. Ο Γενικός Κανονισμός απαιτεί ουσιαστικά οι οργανισμοί να μπορούν να αποδείξουν αποτελεσματικά ότι έκαναν ό, τι χρειάζεται για την ορθή επεξεργασία των προσωπικών δεδομένων που έχουν στην κατοχή τους. Προκειμένου ο οργανισμός να αποδείξει ότι εφαρμόζει μέτρα με τη δέουσα επιμέλεια και μεριμνά για την αντιμετώπιση θεμάτων που άπτονται του Κανονισμού, χρειάζεται ένα δομημένο στρατηγικό σχέδιο που εξετάζει τις περιοχές με τους υψηλότερους κινδύνους και συμβάλει στον προσδιορισμό και την ιεράρχηση των δράσεων για τη συμμόρφωση με τον Κανονισμό.
Με αυτή την προοπτική στη SYNTAX διευκολύνουμε τους οργανισμούς στη σωστή διαχείριση των πληροφοριών σε όλο τον κύκλο ζωής τους εφαρμόζοντας μια στρατηγική προσέγγιση συμμόρφωσης με τον Γενικό Κανονισμό σε τέσσερα στάδια. Ενημέρωση των εργαζομένων για θέματα συμμόρφωσης με τον Κανονισμό. Το πρώτο βήμα προς τη συμμόρφωση με τις απαιτήσεις του Κανονισμού είναι η ευαισθητοποίηση του προσωπικού, έτσι ώστε σταδιακά να διαμορφωθεί η απαραίτητη κουλτούρα για την προστασία των προσωπικών και επιχειρηματικών δεδομένων. Η Διοίκηση καλείται να διασφαλίσει ότι όλοι οι εργαζόμενοι γνωρίζουν για τον Κανονισμό και να εξηγήσει τις αλλαγές που θα επιφέρει στη δουλειά τους. Επιπλέον, πρέπει να σχεδιαστεί και να επικοινωνηθεί αποτελεσματικά τι θα πρέπει να γίνει σε περίπτωση κάποιου περιστατικού παραβίασης της ιδιωτικότητας, δεδομένου των στενών χρονικών περιθωρίων της υποχρέωσης αναφοράς των περιστατικών εντός 72 ωρών. Το στάδιο ενημέρωσης είναι ένα μικρό αλλά πολύ σημαντικό πρώτο βήμα- μια «γρήγορη νίκη». Ακόμα και αν υπάρχουν συστήματα ασφάλειας και διαχείρισης πληροφοριών τελευταίας τεχνολογίας για την προστασία των προσωπικών δεδομένων, οι άνθρωποι είναι συχνά ο ασθενέστερος σύνδεσμος. Η SYNTAX υποστηρίζει τους οργανισμούς στο σχεδιασμό της σωστής ενημέρωσης του προσωπικού, υλοποιώντας ολιστικά προγράμματα ενημέρωσης που περιλαμβάνουν την αξιολόγηση των αναγκών, το σχεδιασμό εκπαιδευτικού και υποστηρικτικού υλικού, και την υλοποί-
Τα τέσσερα στάδια στρατηγικής προσέγγισης συμμόρφωσης με τον GDPR 1. Ανακάλυψη (Discover) και ενημέρωση, όπου «ανακαλύπτονται» τα δεδομένα του οργανισμού, αντιστοιχούνται σε ιδιοκτήτες και κατηγοριοποιούνται ανάλογα με την αξία τους και το βαθμό ευαισθησίας τους 2. Προστασία (Protect), όπου υλοποιούνται μηχανισμοί προστασίας των δεδομένων τόσο αναφορικά με την διατήρηση της εμπιστευτικότητα και ακεραιότητας, όσο και από μη εξουσιοδοτημένη πρόσβαση 3. Έλεγχος (Control), όπου υλοποιούνται μηχανισμοί ελέγχου της πρόσβασης στην πληροφορία και της αποτροπής διαρροών και μη χρηστής χρήσης 4. Αναζήτηση (Investigate), όπου υλοποιούνται μηχανισμοί παρακολούθησης των παραπάνω, καθώς και αναζήτησης πληροφοριών
ηση της εκπαίδευσης είτε κατά πρόσωπο, είτε με την χρήση απομακρυσμένων μεθόδων.
το σχεδιασμό και την υλοποίηση των έργων που ορίστηκαν στο σχέδιο αντιμετώπισης. Στο στάδιο της υλοποίησης παρακολουθείται και αξιολογείται ο βαθμός επίτευξης των στόχων, οι τρόποι βελτιστοποίησης και η ακολουθία των επόμενων έργων. Η SYNTAX παρέχει στους οργανισμούς τις αναγκαίες κορυφαίες τεχνολογικές λύσεις, μέγιστο όφελος στην αποτελεσματική συμμόρφωση με τις απαιτήσεις του Κανονισμού.
Ανάλυση κινδύνου: από την ευαισθητοποίηση στην αποδεδειγμένη δράση συμμόρφωσης με το GDPR Σε αυτό το στάδιο, διεξάγεται εμπεριστατωμένη ανάλυση κινδύνου που περιλαμβάνει διαδικασίες διαχείρισης επεξεργασίας και αποθήκευσης πληροφοριών, τις τεχνολογίες επεξεργασί- Privacy by Design και ας και προστασίας της ιδιωτικότητας διαχείριση πληροφοριών των δεδομένων και τους ανθρώπους στα πλαίσια του που εμπλέκονται. Η ανάλυση κινδύνου Κανονισμού αναδεικνύει τι έχει υλοποιηθεί και τι εκ- Η έννοια του Privacy by Design αποκρεμεί, πού βρίσκεται κάθε πληροφορία τελεί βασικό στοιχείο του Κανονισμού, και πού πρέπει να βρίσκεται, πού ανι- καθώς ο κανονισμός αναφέρει ρητά ότι χνεύονται τα κύρια κενά και ποια κενά τα συστήματα και οι εφαρμογές πρέπει αποτελούν τον υψηλότερο κίνδυνο. Μό- να το υποστηρίζουν εξ ορισμού. Στην λις εντοπιστούν τα προβλήματα και οι πράξη, οι πλατφόρμες και τα συστήμαπεριοχές με κενά, είτε πρόκειται για τις τα διαχείρισης πληροφοριών, πρέπει να ανωτέρω διαδικασίες, τα εμπεκόμενα υποστηρίζουν ένα μοντέλο ασφάλειας, άτομα ή τις τεχνολογίες ασφάλειας κλπ, σύμφωνα με το οποίο μόνο τα άτομα πρέπει να δημιουργηθεί ένας πίνακας που χρειάζονται πρόσβαση σε προσωόπου ο βαθμός κινδύνου ορίζεται για πικά δεδομένα για την εκτέλεση της κάθε πρόβλημα ή περιοχή με κενά, και εργασίας τους επιτρέπεται να έχουν την δίνει τη δυνατότητα σταδιακής, και τεκ- απαραίτητη πρόσβαση και μόνο αυτή. μηριωμένης προσέγγισης, η οποία οδη- Παραδοσιακά πολλοί οργανισμοί υλογεί σε δράσεις και σχέδια με βάση τον ποιούν μια αρχιτεκτονική πρόσβασης βαθμό κινδύνου. Στη SYNTAX έχουμε «ανοικτή εκτός αν». στη βάση πνεύματος σχεδιάσει μια μεθοδολογία αξιολόγησης διαφάνειας και ενίσχυσης της συνεργαρίσκου και επίπτωσης στην ιδιωτικό- σίας. Στην πράξη διαπιστώνεται ότι όλα τητα της πληροφορίας, βασισμένη στο είναι ανοικτά επειδή κανείς δεν ξέρει πρότυπο ISO/IEC 29134:2017, η οποία πραγματικά ποιο είναι το μοντέλο ασφαδίνει την δυνατότητα να τεκμηριωθεί η λείας. Πρέπει να σχεδιαστεί ένα ολιστικό υπάρχουσα κατάσταση, να ανιχνευτούν σύστημα προσβάσεων / εξουσιοδοτήσεοι περιοχές που υπάρχει αυξημένο ρί- ων και να αναθεωρηθούν οι υπάρχουσκο και να σχεδιαστούν οι απαραίτητες σες προσβάσεις στη βάση ενός μοντέλου ενέργειες για να ελαχιστοποιήσουν το εξουσιοδότησης «κλειστή εκτός αν» και ρίσκο. Το επόμενο στάδιο περιλαμβάνει να χορηγούνται δικαιώματα πρόσβασης
μόνο στην βάση επιχειρησιακών αναγκών. Η SYNTAX βοηθά στον επανασχεδιασμό του μοντέλου προσβάσεων και εξουσιοδότησης, υποστηρίζοντας αντίστοιχα τον οργανισμό με τις κατάλληλες λύσεις που έχουν τη δυνατότητα αυτοματοποίησης της διαδικασίας έγκρισης εξουσιοδοτήσεων και κεντρικής παρακολούθησης της επάρκειας και ακρίβειας του σχετικού μοντέλου. Το δικαίωμα στη λήθη. Γενικός Κανονισμός, Διατήρηση Αρχείων και Εγγραφών Σύμφωνα με τον Κανονισμό, οι οργανισμοί πρέπει να διακρατούν μόνο τις απαραίτητες για την επιχειρησιακή τους λειτουργία πληροφορίες, που σημαίνει ότι πρέπει να έχουν ένα πλάνο διατήρησης, που καθορίζει τον σκοπό διατήρησης από νομική και ιστορική άποψη αλλά και επιχειρηματική προοπτική. Ως εκ τούτου ο οργανισμός πρέπει να έχει προβλέψει διαδικασία διαγραφής ή αποταυτοποίησης των δεδομένων, και βέβαια αν ένα υποκείμενο των δεδομένων ασκήσει το δικαίωμά του στην λήθη. Αυτό το πλάνο διατήρησης και ταξινόμησης της πληροφορίας θα εξετάζει τους τύπους εγγράφων και τα συστήματα διατήρησης, όπως ορίζονται από το εκάστοτε νομικό πλαίσιο και από το εθνικό δίκαιο που καθορίζει συγκεκριμένες απαιτήσεις διατήρησης, διότι το εθνικό δίκαιο επικρατεί έναντι του GDPR. Η SYNTAX προσφέρει λύσεις σχεδιασμού του πλάνου διατήρησης, καθώς και μηχανισμούς αρχειοθέτησης ώστε να βοηθήσουν τον οργανισμό στην αποδοτική διατήρηση αρχείων και εγγράφων. INFO SYNTAX Πληροφορική ΑΒΕΕ Μεσογείων 216, Χολαργός 15561 Τ: 210 6543100 E: isgrc@syntax.gr S: www.syntax.gr
ε τ ησι α εκ δοση 2017 • netweeK
23
Η κανονιστικη συμμορφωση GDPR ειναι προ των πυλων, εσεις εισαστε ετοιμοι; Η διαχείριση των δεδομένων σε μια σύγχρονη ψηφιακή οικονομία, χωρίς σύνορα, πέφτει συχνά θύμα μιας χαλαρής εποπτείας που υπάρχει, ως προς την προστασία των προσωπικών στοιχείων. Του Πάρι Κάσκα, Technology Solutions Manager, Veritas Technologies
24
Σ
το ημερολόγιο θα γράφει 25 Μαΐου 2018 και η Ευρωπαϊκή Ένωση θα ενεργοποιήσει τον πιο ευρύτατο κανονισμό για την προστασία των προσωπικών δεδομένων που ο κόσμος έχει ποτέ δει - τον κανονισμό για την προστασία των γενικών δεδομένων ή αλλιώς GDPR. Το 2016 ήταν μια χρονιά που ο αριθμός των παραβιάσεων δεδομένων (data breaches) αυξήθηκε κατά 40% σε σχέση με το 2015, και αυτό αποδεικνύει ότι τα προσωπικά δεδομένα κινδυνεύουν να χαθούν ή να κλαπούν περισσότερο από ποτέ, σύμφωνα με την ετήσια αναφορά του Identity Theft Resource Center and CyberScout. Για την αντιμετώπιση αυτής της αυξανόμενης πρόκλησης, η Ευρωπαϊκή Ένωση δημιούργησε τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) που είναι ότι πιο ολοκληρωμένο υπάρχει μέχρι τώρα σε κανονιστικό πλαίσιο και οι οργανισμοί και οι εταιρίες θα έχουν δύο επιλογές: ή να προσαρμοστούν στο GDPR ή να αντιμετωπίσουν τις συνέπειες. Ποια είναι τα κρίσιμα σημεία του GDPR που πρέπει να εφαρμόσουν οι οργανισμοί και πως μπορεί να βοηθήσει η Veritas Technologies σε αυτό. Χαρτογράφηση των δεδομένων σύμφωνα με το άρθρο 30 του GDPR Το πρώτο βήμα για έναν οργανισμό είναι και το πιο κρίσιμο, για τη συμμόρφωση με το GDPR, και αυτό είναι η αποκτήσει μιας ολιστικής αντίληψης για το πού βρίσκονται όλα τα προσωπικά δεδομένα
netweeK • ε τ ησι α εκ δοση 2017
που κατέχει ο οργανισμός και να τα εντοπίσει άμεσα. Αυτό μπορεί να γίνει, δημιουργώντας μια χαρτογράφηση δεδομένων για το πού φυλάσσονται αυτές οι πληροφορίες, ποιος έχει πρόσβαση σε αυτές, πόσο χρονικό διάστημα διατηρούνται σε βάσεις δεδομένων ή λιμνάζουν σε διάφορα αποθηκευτικά συστήματα και τέλος πως μετακινούνται. Αυτή η χαρτογράφηση είναι το «κλειδί» για την κατανόηση του τρόπου με τον οποίο η επιχείρηση διαχειρίζεται και επεξεργάζεται τα προσωπικά δεδομένα. Σε αυτό το σημείο η Veritas Technologies με την μοναδική προσέγγιση και τεχνολογία μέσω των Veritas Data Insight & Veritas Information Map βοηθά, ως προς την χαρτογράφηση και την προβολή της τοποθεσίας των προσωπικών και ευαίσθητων δεδομένων, την πρόσβαση σε αυτές και για πόσο χρονικό διάστημα διατηρούνται αποθηκευμένες. Αυτό είναι το πρώτο στάδιο και βασικό θεμέλιο για την επίτευξη της συμμόρφωσης σύμφωνα με το άρθρο 30 του GDPR. Αναζήτηση δεδομένων σύμφωνα με τα άρθρα 15, 16, 17, 18, 20 του GDPR Οι πολίτες της Ευρωπαϊκής Ένωσης μπορούν να ζητήσουν την χαρτογράφηση όλων των προσωπικών δεδομένων τους που κατέχει ένας οργανισμός ή εταιρία, υποβάλλοντας σχετικό αίτημα πρόσβασης δεδομένων. Κατόπιν μπορούν να ζητήσουν τη διόρθωση αυτών (εάν είναι λανθασμένα), να παραληφτούν (με οποιαδήποτε μορφή εξαγωγής) ή και να διαγραφούν. Αυτή η δια-
σφάλιση ότι ο οργανισμός ή η εταιρία μπορεί να πραγματοποιήσει και να εξυπηρετήσει εγκαίρως αυτά τα αιτήματα πρόσβασης είναι κρίσιμη για την αποφυγή των κυρώσεων βάση των σχετικών άρθρων 15,16,17,18 και 20 του GDPR και η Veritas Technologies έχει την κορυφαία λύση αναζήτησης που ονομάζεται eDsicovery Platform. Το Veritas eDiscovery Platform διαθέτει ισχυρό μηχανισμό αναζήτησης αποτελεσμάτων ως προς τις ιδιότητες των προσωπικών δεδομένων. Διαθέτει μηχανισμό μάθησης (machine learning) για αυτόματο προσδιορισμό συναφή δεδομένων με παρόμοια στοιχεία ώστε να υπάρξει πλήρη ανασκόπηση των αποτελεσμάτων. Ελαχιστοποίηση προσωπικών δεδομένων μέσω ταξινόμησης βάσει των άρθρων 5,17 & 32 του GDPR Η ελαχιστοποίηση των δεδομένων, μία από τις βασικές αρχές του κανονιστικού πλαισίου GDPR, έχει σχεδιαστεί ώστε να διασφαλίσει ότι οι οργανισμοί θα μειώσουν τον συνολικό όγκο των αποθηκευμένων προσωπικών δεδομένων. Αυτό για να επιτευχτεί, μπορεί να γίνει μόνο με τη διατήρηση δεδομένων προσωπικού χαρακτήρα, για την χρονική περίοδο, που συνδέονται άμεσα με τον αρχικό σκοπό που συλλέχτηκαν. Η Veritas Technologies με τις λύσεις Enterprise Vault & Enterprise Vault.Cloud παρέχει την δυνατότητα για πλήρη ταξινόμηση περιεχομένου μέσω αλγόριθμων ως προς την εκτέλεση πολιτικών συμβατών με GDPR.
25
Veritas Information Map, χαρτογράφηση και απεικόνιση δεδομένων ενός οργανισμού, σε πραγματικό χρόνο, με αναζήτηση & ενέργειες ως προς τύπο αρχείου, ownership, χρονική στιγμή πρόσβασης, και τοποθεσία που βρίσκονται.
Με σχεδίαση και επιβολή πολιτικών διατήρησης (retention), οι οποίες θα λήγουν αυτόματα με την πάροδο του χρόνου και καθιερώνουν τον ακρογωνιαίο λίθο της στρατηγικής GDPR που θα ακολουθεί ο οργανισμός.
σιμότητα μέσω αυτόματων ενεργειών ανεξαρτήτων πλατφόρμας λειτουργικών (Windows, Linux & Unix) καθώς και την ενοποίηση του παρόχων υπηρεσιών Cloud ώστε να εξασφαλίζει ευρεία κάλυψη προστασίας για υβριδικά περιβάλλοντα.
Προστασία των δεδομένων βάσει των άρθρων 5, 25, 32, 33, 34, 35 του GDPR κανονισμού Σύμφωνα με τα σχετικά άρθρα του GDPR κανονισμού, οι οργανισμοί και οι εταιρίες έχουν υποχρέωση να εφαρμόσουν οργανωτικά και τεχνικά μέσα, ώστε να αποδείξουν ότι έχουν σχεδιάσει και ενσωματώσει την προστασία των δεδομένων σε όλο το φάσμα δραστηριοτήτων, από την συλλογή τους μέχρι και την επεξεργασία αυτών. Η Veritas Technologies με τις λύσεις NetBackup, InfoScale & Resiliency Platform προσφέρει την απαράμιλλη κλίμακα προστασίας petabytes δεδομένων και εφαρμογών χωρίς την παραμικρή διατάραξη της καθημερινότητας ενός οργανισμού, την απόλυτη διαθε-
Αναφορές παραβίασης δεδομένων βάσει των άρθρων 5, 15, 16, 17, 18, 20, 24, 35, 42, 44, 45 του GDPR Το κανονιστικό πλαίσιο GDPR υποχρεώνει όλους τους οργανισμούς να αναφέρουν συγκεκριμένους τύπους παραβιάσεων δεδομένων στην αρμόδια εποπτική αρχή και σε ορισμένες περιπτώσεις στα άτομα που έχουν επηρεαστεί από την παραπάνω παραβίαση. Ως αποτέλεσμα αυτής της υποχρέωσης οι οργανισμοί θα πρέπει να αξιολογούν την ικανότητά τους στην παρακολούθηση των δραστηριοτήτων παραβίασης και να ενεργοποιούν άμεσα τις διαδικασίες υποβολής αναφορών για τη διασφάλιση της συμμόρφωσης ως προς το GDPR. Η Veritas Technologies με
τις κορυφαίες λύσεις Data Insight & Enterprise Vault παρέχει την δυνατότητα εντοπισμού «ευαίσθητων» αρχείων ώστε να υπάρχει άμεση αντίδραση μέσω ανάλυσης των metadata. Τον εντοπισμό ανώμαλης συμπεριφοράς χρηστών με άμεση αποκατάσταση με ελάχιστες ενέργειες καθώς και πολιτικές διατήρησης (retention) για τα δεδομένα σε κίνδυνο που μπορούν να εντοπιστούν μέσω ενεργοποίησης κινδύνου. INFO Veritas Technologies Λεωφ. Κηφισίας 151, 15124 Μαρούσι Τ: 2106194045 E: paris.kaskas@veritas.com S: www.veritas.com
ε τ ησι α εκ δοση 2017 • netweeK
DIRECTORY
Η Algosystems, είναι ένας έμπειρος System Integrator που εξειδικεύεται σε λύσεις υψηλής τεχνολογίας. Η εταιρία έχει διαγράψει δυναμική πορεία 31 ετών στην Ελλάδα και 5 ετών στο Κατάρ έχοντας ολοκληρώσει πολλαπλές επιτυχημένες υλοποιήσεις σύνθετων λύσεων σε Οργανισμούς από όλους τους κλάδους της αγοράς, τόσο στην Ελλάδα όσο και το εξωτερικό (Ευρώπη και Μέση Ανατολή).
26
Δ: Λ.Συγγρού 206, 176 72 Καλλιθέα (Αθήνα) T: 210 9548000 F: 210 9548099 E: info@algosystems.gr S: www.algosystems.gr
Η ΕΥ κατέχει ηγετική θέση παγκοσμίως στον χώρο των ελεγκτικών, φορολογικών, χρηματοοικονομικών και συμβουλευτικών υπηρεσιών. Η βαθιά γνώση και η ποιότητα των υπηρεσιών που παρέχουμε συμβάλλουν στην οικοδόμηση εμπιστοσύνης στις κεφαλαιαγορές και τις οικονομίες σε ολόκληρο τον κόσμο. Δημιουργούμε ηγετικά στελέχη που συνεργάζονται για να τηρήσουν τις υποσχέσεις μας προς όλους τους εταίρους μας. Mε τον τρόπο αυτό συμβάλλουμε σημαντικά στη δημιουργία ενός καλύτερου κόσμου για τους ανθρώπους μας, για τους πελάτες μας και για τις κοινωνίες μας. Δ: Χειμάρρας 8B, 15125 Μαρουσι T: 210 2886000, F: 210 2886905 S: www.ey.com
netweeK • ε τ ησι α εκ δοση 2017
Η Oracle, με 430.000 πελάτες, 25.000 συνεργάτες και 138.000 εργαζομένους σε 175 χώρες, κατέχει ηγετική θέση διεθνώς στα εταιρικά συστήματα cloud, δίνοντας δυνατότητες ψηφιακού μετασχηματισμού σε επιχειρήσεις κάθε μεγέθους. H Oracle βοηθάει τους πελάτες να αναπτύξουν στρατηγικά σχέδια εξέλιξης και να προωθήσουν το ταξίδι τους προς το cloud από οποιοδήποτε σημείο: νέες υλοποιήσεις cloud, παλαιού τύπου περιβάλλοντα και υβριδικές υλοποιήσεις. Το Oracle Cloud παρέχει κορυφαίες δυνατότητες σε υπηρεσίες SaaS (Software as a Service), PaaS (Platform as a Service), IaaS (Infrastructure as a Service) και DaaS (Data as a Service). A: Μεσογείων 265, Ν. Ψυχικό, 15451 T: 210 6789200 F: 210 6775500 E: mailbox_gr@oracle.com S: www.oracle.com/gr
Από το 1995, η PRIORITY είναι η πρωτοπόρος εταιρεία συμβούλων οργάνωσης και πληροφορικής στην Ελλάδα. Εξειδικεύεται στο σχεδιασμό, τη βελτίωση και την αυτοματοποίηση επιχειρησιακών διαδικασιών που προσθέτουν αξία στην επιχείρηση σύμφωνα με τις απαιτήσεις κανονιστικής συμμόρφωσης, διεθνή πρότυπα και βέλτιστες πρακτικές, ιδιαίτερα στον τομέα της διακυβέρνησης πληροφορικής, της ασφάλειας και προστασίας δεδομένων, της επιχειρησιακής συνέχειας και της αξιολόγησης κινδύνων. Η PRIORITY έχει ήδη ολοκληρώσει σημαντικά έργα GDPR σε μεγάλους οργανισμούς με υψηλή επικινδυνότητα προσωπικών δεδομένων. Δ: Σοφοκλή Βενιζέλου 49-51, Λυκόβρυση, 141 23 T: 210 2509900 F: 210 2580069 E: info@priority.com.gr S: www.priority.com.gr
Η Space Hellas δραστηριοποιείται από το 1985 ως System Integrator. Αποτελεί πρωτοπόρο εταιρεία στις αγορές ICT και ασφάλειας καθώς παρέχει τις πλέον σύγχρονες τεχνολογικές λύσεις και υπηρεσίες, τις οποίες υποστηρίζει με ένα υπερσύγχρονο και άρτια καταρτισμένο τεχνικό δίκτυο. Στην πολυετή πορεία της έχει συνάψει στρατηγικές συμφωνίες με τους μεγαλύτερους διεθνείς οίκους και έχει στο ενεργητικό της μία εντυπωσιακή λίστα ολοκληρωμένων σύνθετων έργων. Ως καινοτόμος εταιρεία προσφέρει λύσεις προστιθέμενης αξίας σε επιχειρήσεις και οργανισμούς, στον ιδιωτικό και δημόσιο τομέα. Η Space Hellas είναι εισηγμένη στο Χρηματιστήριο Αθηνών από το 2000. Δ: Λ. Μεσογείων 312, 153 41 Αγ. Παρασκευή Τ: 210 6504100 E: info@space.gr S: www.space.gr
Veritas Technologies empowers businesses of all sizes to discover the truth in information—their most important digital asset. Using the Veritas platform, customers can accelerate their digital transformation and solve pressing IT and business challenges including multi-cloud data management, data protection, storage optimization, compliance readiness and workload portability—with no cloud vendor lock-in. Eighty-six percent of Fortune 500 companies rely on Veritas today to reveal data insights that drive competitive advantage. A: 151 Kifisias Avenue, 15124 Marousi, Attica Τ: 210 6194045 E: paris.kaskas@veritas.com S: www.veritas.com
Η SYNTAX Πληροφορική Α.Β.Ε.Ε. ιδρύθηκε το 1994 ως spin off της ArAmIS Inc., της πρωτοπόρου από το 1984 αντιπροσώπου κορυφαίων ISVs στον Αραβικό Κόλπο. Σε συνεργασία με τη SYNTAX Diamond IS LLC, μέλος του Royal Diamond Group του Abu Dhabi, δραστηριοποιείται στην Ευρώπη και στον Αραβικό Κόλπο. Η SYNTAX προσφέρει σε μεγάλες επιχειρήσεις και οργανισμούς λογισμικό και συμβουλευτικές υπηρεσίες προσφέροντας τους τη δυνατότητα να αφομοιώνουν τεχνολογίες αιχμής και βέλτιστες πρακτικές, έτσι ώστε να διαφοροποιούνται στην αγορά, να μειώνουν το λειτουργικό τους κόστος, να αποκτούν ανταγωνιστικό πλεονέκτημα και βέλτιστη αποτελεσματικότητα (ROI). Δ: Μεσογείων 216, Χολαργός 15561 Τ: 210 6543100 E: isgrc@syntax.gr S: www.syntax.gr
ετησι α εκδοση 2017 • netweeK
27
Κλεισθένους 338, Γέρακας Τ.Κ. 153 44, Τ: 210 661 7777, F: 210 661 7778